Ķīniešu hakeri
Hakeru darbība, kas attiecināta uz APT20 grupu, pirmo reizi tika atklāta 2011. gadā. 2016.-2017.gadā grupa pazuda no speciālistu uzmanības, un tikai nesen Fox-IT atklāja APT20 traucējumu pēdas viena sava klienta tīklā, kurš lūdza izmeklēt kiberdrošības pārkāpumus.
Saskaņā ar Fox-IT datiem, pēdējo divu gadu laikā APT20 grupa ir uzlauzusi un piekļuvusi datiem no valsts aģentūrām, lieliem uzņēmumiem un pakalpojumu sniedzējiem ASV, Francijā, Vācijā, Itālijā, Meksikā, Portugālē, Spānijā, Apvienotajā Karalistē un Brazīlijā. APT20 hakeri ir aktīvi darbojušies arī tādās jomās kā aviācija, veselības aprūpe, finanses, apdrošināšana, enerģētika un pat tādās jomās kā azartspēles un elektroniskās slēdzenes.
Parasti APT20 hakeri izmantoja ievainojamības tīmekļa serveros un jo īpaši Jboss uzņēmuma lietojumprogrammu platformā, lai iekļūtu upuru sistēmās. Pēc piekļuves čaulām un to instalēšanas hakeri upuru tīklos iekļuva visās iespējamās sistēmās. Atrastie konti ļāva uzbrucējiem nozagt datus, izmantojot standarta rīkus, neinstalējot ļaunprātīgu programmatūru. Bet galvenā problēma ir tā, ka APT20 grupa, iespējams, varēja apiet divu faktoru autentifikāciju, izmantojot marķierus.
Pētnieki apgalvo, ka ir atraduši pierādījumus, ka hakeri ir izveidojuši savienojumu ar VPN kontiem, kas aizsargāti ar divu faktoru autentifikāciju. Kā tas notika, Fox-IT speciālisti var tikai minēt. Visticamākā iespēja ir tāda, ka hakeri varēja nozagt RSA SecurID programmatūras marķieri no uzlauztās sistēmas. Izmantojot nozagto programmu, hakeri varētu ģenerēt vienreizējus kodus, lai apietu divu faktoru aizsardzību.
Normālos apstākļos tas nav iespējams. Programmatūras marķieris nedarbojas bez aparatūras marķiera, kas savienots ar vietējo sistēmu. Bez tā programma RSA SecurID ģenerē kļūdu. Programmatūras marķieris tiek izveidots noteiktai sistēmai, un, piekļūstot cietušā aparatūrai, ir iespējams iegūt noteiktu numuru programmatūras marķiera darbināšanai.
Fox-IT speciālisti apgalvo, ka, lai palaistu (zagtu) programmatūras marķieri, nav nepieciešama piekļuve upura datoram un aparatūras marķierim. Viss sākotnējās verifikācijas komplekss iziet tikai tad, ja tiek importēts sākotnējās ģenerēšanas vektors - nejaušs 128 bitu skaitlis, kas atbilst noteiktam marķierim (
Avots: 3dnews.ru