kinesiske hackere
Hackeraktivitet tilskrevet APT20-gruppen ble først oppdaget i 2011. I 2016-2017 forsvant gruppen fra spesialisters oppmerksomhet, og først nylig oppdaget Fox-IT spor av APT20-interferens i nettverket til en av kundene, som ba om å undersøke brudd på nettsikkerhet.
I følge Fox-IT har APT20-gruppen de siste to årene hacket og fått tilgang til data fra offentlige etater, store selskaper og tjenesteleverandører i USA, Frankrike, Tyskland, Italia, Mexico, Portugal, Spania, Storbritannia og Brasil. APT20-hackere har også vært aktive innen områder som luftfart, helsevesen, finans, forsikring, energi, og til og med på områder som gambling og elektroniske låser.
Vanligvis brukte APT20-hackere sårbarheter i webservere og spesielt i Jboss enterprise-applikasjonsplattform for å gå inn i ofrenes systemer. Etter å ha tilgang til og installert skall, penetrerte hackere ofrenes nettverk inn i alle mulige systemer. Kontoene som ble funnet tillot angripere å stjele data ved hjelp av standardverktøy, uten å installere skadelig programvare. Men hovedproblemet er at APT20-gruppen angivelig var i stand til å omgå tofaktorautentisering ved å bruke tokens.
Forskere sier de har funnet bevis for at hackere koblet til VPN-kontoer beskyttet av tofaktorautentisering. Hvordan dette skjedde, kan Fox-IT-spesialister bare spekulere i. Den mest sannsynlige muligheten er at hackere var i stand til å stjele RSA SecurID-programvaretokenet fra det hackede systemet. Ved å bruke det stjålne programmet kunne hackere generere engangskoder for å omgå tofaktorbeskyttelse.
Under normale forhold er dette umulig å gjøre. Et programvaretoken fungerer ikke uten et maskinvaretoken koblet til det lokale systemet. Uten det genererer RSA SecurID-programmet en feil. Et programvaretoken opprettes for et spesifikt system, og med tilgang til offerets maskinvare er det mulig å få et spesifikt nummer for å kjøre programvaretokenet.
Fox-IT-spesialister hevder at for å lansere et (stjålet) programvaretoken, trenger du ikke å ha tilgang til offerets datamaskin- og maskinvaretoken. Hele komplekset med innledende verifisering passerer bare når du importerer den første generasjonsvektoren - et tilfeldig 128-bits tall som tilsvarer et spesifikt token (
Kilde: 3dnews.ru