Chinese hackers
Hackactiviteit toegeschreven aan de APT20-groep werd voor het eerst ontdekt in 2011. In 2016-2017 verdween de groep uit de aandacht van specialisten, en pas onlangs ontdekte Fox-IT sporen van APT20-interferentie in het netwerk van een van zijn klanten, die vroeg om onderzoek te doen naar schendingen van de cyberbeveiliging.
Volgens Fox-IT heeft de APT20-groep de afgelopen twee jaar gegevens gehackt en gebruikt van overheidsinstanties, grote bedrijven en dienstverleners in de VS, Frankrijk, Duitsland, Italië, Mexico, Portugal, Spanje, het VK en Brazilië. APT20-hackers zijn ook actief geweest op gebieden als de luchtvaart, gezondheidszorg, financiën, verzekeringen, energie en zelfs op gebieden als gokken en elektronische sloten.
Meestal gebruikten APT20-hackers kwetsbaarheden in webservers en vooral in het Jboss-bedrijfsapplicatieplatform om de systemen van slachtoffers binnen te dringen. Na toegang te hebben gekregen tot de shells en deze te hebben geïnstalleerd, drongen hackers de netwerken van slachtoffers binnen in alle mogelijke systemen. Met de gevonden accounts konden aanvallers gegevens stelen met behulp van standaardtools, zonder malware te installeren. Maar het grootste probleem is dat de APT20-groep naar verluidt tweefactorauthenticatie kon omzeilen met behulp van tokens.
Onderzoekers zeggen dat ze bewijs hebben gevonden dat hackers verbonden zijn met VPN-accounts die worden beschermd door tweefactorauthenticatie. Hoe dit heeft kunnen gebeuren, kunnen specialisten van Fox-IT alleen maar speculeren. De meest waarschijnlijke mogelijkheid is dat hackers het RSA SecurID-softwaretoken van het gehackte systeem hebben kunnen stelen. Met behulp van het gestolen programma konden hackers vervolgens eenmalige codes genereren om de tweefactorbeveiliging te omzeilen.
Onder normale omstandigheden is dit onmogelijk. Een softwaretoken werkt niet zonder dat er een hardwaretoken is aangesloten op het lokale systeem. Zonder dit genereert het RSA SecurID-programma een fout. Er wordt een softwaretoken gemaakt voor een specifiek systeem en als u toegang heeft tot de hardware van het slachtoffer, is het mogelijk een specifiek nummer te verkrijgen om de softwaretoken uit te voeren.
Specialisten van Fox-IT beweren dat je, om een (gestolen) softwaretoken te lanceren, geen toegang hoeft te hebben tot de computer en de hardwaretoken van het slachtoffer. Het hele complex van initiële verificatie gaat alleen door bij het importeren van de initiële generatievector - een willekeurig 128-bits getal dat overeenkomt met een specifiek token (
Bron: 3dnews.ru