Ķīniešu hakeri lai apietu divu faktoru autentifikāciju, taču tas nav droši. Zemāk ir sniegti Nīderlandes uzņēmuma Fox-IT pieņēmumi, kas specializējas kiberdrošības konsultāciju pakalpojumos. Tiek pieņemts, ka nav tiešu pierādījumu, ka hakeru grupa ar nosaukumu APT20 strādā Ķīnas valdības aģentūrās.
Hakeru darbība, kas attiecināta uz APT20 grupu, pirmo reizi tika atklāta 2011. gadā. 2016.-2017.gadā grupa pazuda no speciālistu uzmanības, un tikai nesen Fox-IT atklāja APT20 traucējumu pēdas viena sava klienta tīklā, kurš lūdza izmeklēt kiberdrošības pārkāpumus.
Saskaņā ar Fox-IT datiem, pēdējo divu gadu laikā APT20 grupa ir uzlauzusi un piekļuvusi datiem no valsts aģentūrām, lieliem uzņēmumiem un pakalpojumu sniedzējiem ASV, Francijā, Vācijā, Itālijā, Meksikā, Portugālē, Spānijā, Apvienotajā Karalistē un Brazīlijā. APT20 hakeri ir aktīvi darbojušies arī tādās jomās kā aviācija, veselības aprūpe, finanses, apdrošināšana, enerģētika un pat tādās jomās kā azartspēles un elektroniskās slēdzenes.
Parasti APT20 hakeri izmantoja ievainojamības tīmekļa serveros un jo īpaši Jboss uzņēmuma lietojumprogrammu platformā, lai iekļūtu upuru sistēmās. Pēc piekļuves čaulām un to instalēšanas hakeri upuru tīklos iekļuva visās iespējamās sistēmās. Atrastie konti ļāva uzbrucējiem nozagt datus, izmantojot standarta rīkus, neinstalējot ļaunprātīgu programmatūru. Bet galvenā problēma ir tā, ka APT20 grupa, iespējams, varēja apiet divu faktoru autentifikāciju, izmantojot marķierus.
Pētnieki apgalvo, ka ir atraduši pierādījumus, ka hakeri ir izveidojuši savienojumu ar VPN kontiem, kas aizsargāti ar divu faktoru autentifikāciju. Kā tas notika, Fox-IT speciālisti var tikai minēt. Visticamākā iespēja ir tāda, ka hakeri varēja nozagt RSA SecurID programmatūras marķieri no uzlauztās sistēmas. Izmantojot nozagto programmu, hakeri varētu ģenerēt vienreizējus kodus, lai apietu divu faktoru aizsardzību.
Normālos apstākļos tas nav iespējams. Programmatūras marķieris nedarbojas bez aparatūras marķiera, kas savienots ar vietējo sistēmu. Bez tā programma RSA SecurID ģenerē kļūdu. Programmatūras marķieris tiek izveidots noteiktai sistēmai, un, piekļūstot cietušā aparatūrai, ir iespējams iegūt noteiktu numuru programmatūras marķiera darbināšanai.
Fox-IT speciālisti apgalvo, ka, lai palaistu (zagtu) programmatūras marķieri, nav nepieciešama piekļuve upura datoram un aparatūras marķierim. Viss sākotnējās verifikācijas komplekss iziet tikai tad, ja tiek importēts sākotnējās ģenerēšanas vektors - nejaušs 128 bitu skaitlis, kas atbilst noteiktam marķierim (). Šim skaitlim nav nekādas saistības ar sēklu, kas pēc tam attiecas uz faktiskā programmatūras marķiera ģenerēšanu. Ja SecurID Token Seed pārbaudi var kaut kā izlaist (patched), tad nekas netraucēs ģenerēt kodus divfaktoru autorizācijai nākotnē. Fox-IT apgalvo, ka pārbaudes apiešanu var panākt, mainot tikai vienu instrukciju. Pēc tam upura sistēma būs pilnībā un likumīgi atvērta uzbrucējam, neizmantojot īpašas utilītas un čaulas.
Avots: 3dnews.ru