Хятадын хакерууд
APT20 бүлэгтэй холбоотой хакердах ажиллагааг 2011 онд анх илрүүлсэн. 2016-2017 онд тус бүлэг мэргэжилтнүүдийн анхаарлын төвд ороогүй бөгөөд саяхан Fox-IT компани нь үйлчлүүлэгчдийнхээ нэгний сүлжээнд APT20 хөндлөнгийн оролцооны ул мөрийг илрүүлж, кибер аюулгүй байдлын зөрчлийг шалгахыг хүссэн байна.
Fox-IT-ийн мэдээлснээр, сүүлийн хоёр жилийн хугацаанд APT20 групп АНУ, Франц, Герман, Итали, Мексик, Португал, Испани, Их Британи, Бразилийн төрийн байгууллагууд, томоохон компаниуд болон үйлчилгээ үзүүлэгчдийн мэдээллийг хакердаж, нэвтэрч байсан. APT20 хакерууд нисэх, эрүүл мэнд, санхүү, даатгал, эрчим хүч, тэр ч байтугай мөрийтэй тоглоом, цахим цоож зэрэг салбарт идэвхтэй ажиллаж ирсэн.
Ерөнхийдөө APT20 хакерууд хохирогчдын системд нэвтрэхийн тулд вэб серверүүд, ялангуяа Jboss Enterprise application платформ дахь эмзэг байдлыг ашигладаг. Бүрхүүлд нэвтэрч, суулгасны дараа хакерууд хохирогчдын сүлжээг бүх боломжит системд нэвтэрсэн. Олдсон бүртгэлүүд нь халдагчдад хортой програм суулгахгүйгээр стандарт хэрэгслээр мэдээлэл хулгайлах боломжийг олгосон. Гэхдээ гол асуудал бол APT20 групп нь жетон ашиглан хоёр хүчин зүйлийн баталгаажуулалтыг давж чадсан гэж таамаглаж байна.
Судлаачид хакерууд хоёр хүчин зүйлийн нэвтрэлт танилтаар хамгаалагдсан VPN акаунтуудтай холбогдсон болохыг нотлох баримт олсон гэж мэдэгджээ. Энэ нь хэрхэн болсон талаар Fox-IT мэргэжилтнүүд зөвхөн таамаглаж чадна. Хамгийн магадлалтай нь хакерууд хакердсан системээс RSA SecurID программ хангамжийн жетоныг хулгайлж чадсан байх. Хулгайлагдсан программыг ашигласнаар хакерууд хоёр хүчин зүйлийн хамгаалалтыг давахын тулд нэг удаагийн код үүсгэж болно.
Ердийн нөхцөлд үүнийг хийх боломжгүй юм. Програм хангамжийн токен нь дотоод системд холбогдсон техник хангамжийн токенгүйгээр ажиллахгүй. Үүнгүйгээр RSA SecurID програм нь алдаа үүсгэдэг. Тодорхой системд зориулж програм хангамжийн токен бүтээгдсэн бөгөөд хохирогчийн техник хангамжид хандсанаар програм хангамжийн жетоныг ажиллуулах тусгай дугаар авах боломжтой.
Fox-IT-ийн мэргэжилтнүүд (хулгайлсан) програм хангамжийн токеныг ажиллуулахын тулд хохирогчийн компьютер болон техник хангамжийн жетонд хандах шаардлагагүй гэж мэдэгджээ. Анхны баталгаажуулалтын бүх цогцолбор нь зөвхөн эхний үеийн векторыг импортлох үед дамждаг - тодорхой жетонтой тохирох санамсаргүй 128 битийн тоо (
Эх сурвалж: 3dnews.ru