Kinijos įsilaužėliai apeiti dviejų veiksnių autentifikavimą, tačiau tai nėra tikra. Žemiau pateikiamos Nyderlandų bendrovės „Fox-IT“, kurios specializacija – kibernetinio saugumo konsultavimo paslaugos, prielaidos. Daroma prielaida, dėl kurios nėra tiesioginių įrodymų, kad įsilaužėlių grupė, vadinama APT20, dirba Kinijos vyriausybinėms agentūroms.
Pirmą kartą APT20 grupei priskiriama įsilaužimo veikla buvo aptikta 2011 m. 2016-2017 metais grupė dingo iš specialistų dėmesio, o tik visai neseniai „Fox-IT“ aptiko APT20 trukdžių pėdsakus vieno savo kliento, kuris paprašė ištirti kibernetinio saugumo pažeidimus, tinkle.
„Fox-IT“ teigimu, per pastaruosius dvejus metus APT20 grupė įsilaužė į JAV, Prancūzijos, Vokietijos, Italijos, Meksikos, Portugalijos, Ispanijos, JK ir Brazilijos vyriausybinių agentūrų, didelių kompanijų ir paslaugų teikėjų duomenis. APT20 įsilaužėliai taip pat aktyviai veikė tokiose srityse kaip aviacija, sveikatos priežiūra, finansai, draudimas, energetika ir netgi tokiose srityse kaip lošimai ir elektroninės spynos.
Paprastai APT20 įsilaužėliai naudojo žiniatinklio serverių ir ypač Jboss įmonės taikomųjų programų platformos spragas, kad patektų į aukų sistemas. Pasiekę ir įdiegę apvalkalus, įsilaužėliai įsiskverbė į aukų tinklus į visas įmanomas sistemas. Rastos paskyros leido užpuolikams pavogti duomenis naudojant standartinius įrankius, neįdiegiant kenkėjiškų programų. Tačiau pagrindinė bėda ta, kad APT20 grupė tariamai sugebėjo apeiti dviejų veiksnių autentifikavimą naudodama žetonus.
Tyrėjai teigia radę įrodymų, kad įsilaužėliai prisijungė prie VPN paskyrų, apsaugotų dviejų veiksnių autentifikavimu. Kaip tai atsitiko, „Fox-IT“ specialistai gali tik spėlioti. Labiausiai tikėtina, kad įsilaužėliai galėjo pavogti RSA SecurID programinės įrangos prieigos raktą iš įsilaužtos sistemos. Naudodami pavogtą programą įsilaužėliai galėjo generuoti vienkartinius kodus, kad apeitų dviejų veiksnių apsaugą.
Įprastomis sąlygomis to padaryti neįmanoma. Programinės įrangos prieigos raktas neveikia be aparatinės įrangos prieigos rakto, prijungto prie vietinės sistemos. Be jo RSA SecurID programa generuoja klaidą. Programinės įrangos prieigos raktas sukuriamas konkrečiai sistemai ir, turint prieigą prie aukos aparatinės įrangos, galima gauti konkretų numerį programinės įrangos žetonui paleisti.
Fox-IT specialistai teigia, kad norint paleisti (pavogtą) programinės įrangos žetoną, nereikia turėti prieigos prie aukos kompiuterio ir aparatinės įrangos žetono. Visas pradinio patikrinimo kompleksas praeina tik importuojant pradinį generavimo vektorių - atsitiktinį 128 bitų skaičių, atitinkantį konkretų prieigos raktą (). Šis skaičius nesusijęs su pradiniu elementu, kuris vėliau yra susijęs su tikrosios programinės įrangos prieigos rakto generavimu. Jei „SecurID Token Seed“ patikrinimas gali būti kažkaip praleistas (pataisytas), tada niekas netrukdys jums generuoti kodų dviejų veiksnių autorizacijai ateityje. „Fox-IT“ teigia, kad apeiti patikrinimą galima pakeitus tik vieną instrukciją. Po to aukos sistema bus visiškai ir teisėtai atvira užpuolikui, nenaudojant specialių paslaugų ir apvalkalų.
Šaltinis: 3dnews.ru
