Chinese hackers tweefactorauthenticatie te omzeilen, maar zeker is dit niet. Hieronder staan de aannames van het Nederlandse bedrijf Fox-IT, gespecialiseerd in cybersecurity-adviesdiensten. Er wordt aangenomen, waarvoor geen direct bewijs bestaat, dat een groep hackers genaamd APT20 voor Chinese overheidsinstanties werkt.
Hackactiviteit toegeschreven aan de APT20-groep werd voor het eerst ontdekt in 2011. In 2016-2017 verdween de groep uit de aandacht van specialisten, en pas onlangs ontdekte Fox-IT sporen van APT20-interferentie in het netwerk van een van zijn klanten, die vroeg om onderzoek te doen naar schendingen van de cyberbeveiliging.
Volgens Fox-IT heeft de APT20-groep de afgelopen twee jaar gegevens gehackt en gebruikt van overheidsinstanties, grote bedrijven en dienstverleners in de VS, Frankrijk, Duitsland, Italië, Mexico, Portugal, Spanje, het VK en Brazilië. APT20-hackers zijn ook actief geweest op gebieden als de luchtvaart, gezondheidszorg, financiën, verzekeringen, energie en zelfs op gebieden als gokken en elektronische sloten.
Meestal gebruikten APT20-hackers kwetsbaarheden in webservers en vooral in het Jboss-bedrijfsapplicatieplatform om de systemen van slachtoffers binnen te dringen. Na toegang te hebben gekregen tot de shells en deze te hebben geïnstalleerd, drongen hackers de netwerken van slachtoffers binnen in alle mogelijke systemen. Met de gevonden accounts konden aanvallers gegevens stelen met behulp van standaardtools, zonder malware te installeren. Maar het grootste probleem is dat de APT20-groep naar verluidt tweefactorauthenticatie kon omzeilen met behulp van tokens.
Onderzoekers zeggen dat ze bewijs hebben gevonden dat hackers verbonden zijn met VPN-accounts die worden beschermd door tweefactorauthenticatie. Hoe dit heeft kunnen gebeuren, kunnen specialisten van Fox-IT alleen maar speculeren. De meest waarschijnlijke mogelijkheid is dat hackers het RSA SecurID-softwaretoken van het gehackte systeem hebben kunnen stelen. Met behulp van het gestolen programma konden hackers vervolgens eenmalige codes genereren om de tweefactorbeveiliging te omzeilen.
Onder normale omstandigheden is dit onmogelijk. Een softwaretoken werkt niet zonder dat er een hardwaretoken is aangesloten op het lokale systeem. Zonder dit genereert het RSA SecurID-programma een fout. Er wordt een softwaretoken gemaakt voor een specifiek systeem en als u toegang heeft tot de hardware van het slachtoffer, is het mogelijk een specifiek nummer te verkrijgen om de softwaretoken uit te voeren.
Specialisten van Fox-IT beweren dat je, om een (gestolen) softwaretoken te lanceren, geen toegang hoeft te hebben tot de computer en de hardwaretoken van het slachtoffer. Het hele complex van initiële verificatie gaat alleen door bij het importeren van de initiële generatievector - een willekeurig 128-bits getal dat overeenkomt met een specifiek token (). Dit getal heeft geen betrekking op het zaad, dat vervolgens betrekking heeft op het genereren van het daadwerkelijke softwaretoken. Als de SecurID Token Seed-controle op de een of andere manier kan worden overgeslagen (gepatcht), zal niets u ervan weerhouden om in de toekomst codes voor tweefactorautorisatie te genereren. Fox-IT beweert dat het omzeilen van de controle kan worden bereikt door slechts één instructie te wijzigen. Hierna zal het systeem van het slachtoffer volledig en legaal openstaan voor de aanvaller, zonder het gebruik van speciale hulpprogramma's en granaten.
Bron: 3dnews.ru