Kínverskir tölvuþrjótar að komast framhjá tvíþættri auðkenningu, en það er ekki víst. Hér að neðan eru forsendur hollenska fyrirtækisins Fox-IT sem sérhæfir sig í netöryggisráðgjafarþjónustu. Gert er ráð fyrir, sem engar beinar sannanir eru fyrir, að hópur tölvuþrjóta sem kallast APT20 vinni fyrir kínverskar ríkisstofnanir.
Tölvusnápur sem rekja má til APT20 hópsins var fyrst uppgötvað árið 2011. Á árunum 2016-2017 hvarf hópurinn athygli sérfræðinga og aðeins nýlega uppgötvaði Fox-IT ummerki um APT20 truflun á neti eins viðskiptavinar þess, sem bað um að rannsaka netöryggisbrot.
Samkvæmt Fox-IT hefur APT20 hópurinn undanfarin tvö ár verið að hakka og nálgast gögn frá ríkisstofnunum, stórum fyrirtækjum og þjónustuaðilum í Bandaríkjunum, Frakklandi, Þýskalandi, Ítalíu, Mexíkó, Portúgal, Spáni, Bretlandi og Brasilíu. APT20 tölvuþrjótar hafa einnig verið virkir á sviðum eins og flugi, heilbrigðisþjónustu, fjármálum, tryggingar, orku og jafnvel á sviðum eins og fjárhættuspilum og rafrænum læsingum.
Venjulega notuðu APT20 tölvuþrjótar varnarleysi á vefþjónum og sérstaklega á Jboss fyrirtækjaforritavettvangi til að komast inn í kerfi fórnarlamba. Eftir að hafa fengið aðgang að og sett upp skeljar komust tölvuþrjótar inn í netkerfi fórnarlamba inn í öll möguleg kerfi. Reikningarnir sem fundust gerðu árásarmönnum kleift að stela gögnum með venjulegum verkfærum, án þess að setja upp spilliforrit. En aðalvandamálið er að APT20 hópurinn var að sögn fær um að komast framhjá tveggja þátta auðkenningu með því að nota tákn.
Vísindamenn segjast hafa fundið vísbendingar um að tölvuþrjótar hafi tengt VPN reikningum sem verndaðir eru með tvíþættri auðkenningu. Hvernig þetta gerðist geta Fox-IT sérfræðingar aðeins getið sér til um. Líklegasti möguleikinn er að tölvuþrjótar hafi getað stolið RSA SecurID hugbúnaðarlyklinum frá tölvusnáða kerfinu. Með því að nota stolna forritið gætu tölvuþrjótar síðan búið til einskiptiskóða til að komast framhjá tveggja þátta vernd.
Við venjulegar aðstæður er þetta ómögulegt að gera. Hugbúnaðarlykill virkar ekki án vélbúnaðarlykils sem er tengt við staðbundið kerfi. Án þess myndar RSA SecurID forritið villu. Hugbúnaðarlykill er búinn til fyrir ákveðið kerfi og með aðgang að vélbúnaði fórnarlambsins er hægt að fá ákveðið númer til að keyra hugbúnaðarlykilinn.
Sérfræðingar Fox-IT halda því fram að til að ræsa (stolið) hugbúnaðartákn þurfið þið ekki að hafa aðgang að tölvu- og vélbúnaðarlyki fórnarlambsins. Öll frumsannprófunarfléttan fer aðeins framhjá þegar frummyndarvigur er fluttur inn - handahófskennd 128 bita tala sem samsvarar tilteknu tákni (). Þessi tala hefur engin tengsl við fræið, sem tengist síðan myndun raunverulegs hugbúnaðarlykils. Ef hægt er að sleppa SecurID Token Seed athuguninni á einhvern hátt, þá mun ekkert koma í veg fyrir að þú búir til kóða fyrir tveggja þátta heimild í framtíðinni. Fox-IT heldur því fram að hægt sé að komast framhjá ávísuninni með því að breyta aðeins einni leiðbeiningum. Eftir þetta verður kerfi fórnarlambsins algjörlega og löglega opið fyrir árásarmanninn án þess að nota sérstakar tól og skeljar.
Heimild: 3dnews.ru