peretas Tiongkok untuk melewati otentikasi dua faktor, tapi ini belum pasti. Di bawah ini adalah asumsi dari perusahaan Belanda Fox-IT, yang berspesialisasi dalam layanan konsultasi keamanan siber. Diasumsikan, meskipun tidak ada bukti langsung, bahwa sekelompok peretas bernama APT20 bekerja untuk lembaga pemerintah Tiongkok.
Aktivitas peretas yang dikaitkan dengan grup APT20 pertama kali ditemukan pada tahun 2011. Pada 2016-2017, grup tersebut menghilang dari perhatian para spesialis, dan baru-baru ini Fox-IT menemukan jejak gangguan APT20 di jaringan salah satu kliennya, yang meminta untuk menyelidiki pelanggaran keamanan siber.
Menurut Fox-IT, selama dua tahun terakhir, kelompok APT20 telah meretas dan mengakses data dari lembaga pemerintah, perusahaan besar, dan penyedia layanan di AS, Prancis, Jerman, Italia, Meksiko, Portugal, Spanyol, Inggris, dan Brasil. Peretas APT20 juga aktif di berbagai bidang seperti penerbangan, perawatan kesehatan, keuangan, asuransi, energi, dan bahkan di bidang-bidang seperti perjudian dan kunci elektronik.
Biasanya, peretas APT20 menggunakan kerentanan di server web dan, khususnya, di platform aplikasi perusahaan Jboss untuk memasuki sistem korban. Setelah mengakses dan menginstal shell, peretas menembus jaringan korban ke semua sistem yang memungkinkan. Akun yang ditemukan memungkinkan penyerang mencuri data menggunakan alat standar, tanpa memasang malware. Namun masalah utamanya adalah grup APT20 diduga mampu melewati otentikasi dua faktor menggunakan token.
Para peneliti mengatakan mereka telah menemukan bukti bahwa peretas terhubung ke akun VPN yang dilindungi oleh otentikasi dua faktor. Bagaimana ini bisa terjadi, pakar Fox-IT hanya bisa berspekulasi. Kemungkinan yang paling mungkin adalah peretas dapat mencuri token perangkat lunak RSA SecurID dari sistem yang diretas. Dengan menggunakan program yang dicuri, peretas kemudian dapat membuat kode satu kali untuk melewati perlindungan dua faktor.
Dalam kondisi normal hal ini tidak mungkin dilakukan. Token perangkat lunak tidak berfungsi tanpa token perangkat keras yang terhubung ke sistem lokal. Tanpanya, program RSA SecurID menghasilkan kesalahan. Token perangkat lunak dibuat untuk sistem tertentu dan, dengan memiliki akses ke perangkat keras korban, dimungkinkan untuk memperoleh nomor tertentu untuk menjalankan token perangkat lunak.
Spesialis Fox-IT mengklaim bahwa untuk meluncurkan token perangkat lunak (yang dicuri), Anda tidak perlu memiliki akses ke komputer dan token perangkat keras korban. Seluruh kompleks verifikasi awal hanya terjadi ketika vektor generasi awal diimpor - nomor 128-bit acak yang sesuai dengan token tertentu (). Angka ini tidak ada hubungannya dengan seed, yang kemudian berhubungan dengan pembuatan token perangkat lunak yang sebenarnya. Jika pemeriksaan SecurID Token Seed entah bagaimana dapat dilewati (ditambal), maka tidak ada yang akan menghalangi Anda membuat kode untuk otorisasi dua faktor di masa mendatang. Fox-IT mengklaim bahwa melewati pemeriksaan dapat dicapai dengan mengubah hanya satu instruksi. Setelah ini, sistem korban akan terbuka sepenuhnya dan legal bagi penyerang tanpa menggunakan utilitas dan shell khusus.
Sumber: 3dnews.ru