kinesiske hackere å omgå tofaktorautentisering, men dette er ikke sikkert. Nedenfor er forutsetningene til det nederlandske selskapet Fox-IT, som spesialiserer seg på konsulenttjenester for cybersikkerhet. Det antas, som det ikke er direkte bevis for, at en gruppe hackere kalt APT20 jobber for kinesiske myndigheter.
Hackeraktivitet tilskrevet APT20-gruppen ble først oppdaget i 2011. I 2016-2017 forsvant gruppen fra spesialisters oppmerksomhet, og først nylig oppdaget Fox-IT spor av APT20-interferens i nettverket til en av kundene, som ba om å undersøke brudd på nettsikkerhet.
I følge Fox-IT har APT20-gruppen de siste to årene hacket og fått tilgang til data fra offentlige etater, store selskaper og tjenesteleverandører i USA, Frankrike, Tyskland, Italia, Mexico, Portugal, Spania, Storbritannia og Brasil. APT20-hackere har også vært aktive innen områder som luftfart, helsevesen, finans, forsikring, energi, og til og med på områder som gambling og elektroniske låser.
Vanligvis brukte APT20-hackere sårbarheter i webservere og spesielt i Jboss enterprise-applikasjonsplattform for å gå inn i ofrenes systemer. Etter å ha tilgang til og installert skall, penetrerte hackere ofrenes nettverk inn i alle mulige systemer. Kontoene som ble funnet tillot angripere å stjele data ved hjelp av standardverktøy, uten å installere skadelig programvare. Men hovedproblemet er at APT20-gruppen angivelig var i stand til å omgå tofaktorautentisering ved å bruke tokens.
Forskere sier de har funnet bevis for at hackere koblet til VPN-kontoer beskyttet av tofaktorautentisering. Hvordan dette skjedde, kan Fox-IT-spesialister bare spekulere i. Den mest sannsynlige muligheten er at hackere var i stand til å stjele RSA SecurID-programvaretokenet fra det hackede systemet. Ved å bruke det stjålne programmet kunne hackere generere engangskoder for å omgå tofaktorbeskyttelse.
Under normale forhold er dette umulig å gjøre. Et programvaretoken fungerer ikke uten et maskinvaretoken koblet til det lokale systemet. Uten det genererer RSA SecurID-programmet en feil. Et programvaretoken opprettes for et spesifikt system, og med tilgang til offerets maskinvare er det mulig å få et spesifikt nummer for å kjøre programvaretokenet.
Fox-IT-spesialister hevder at for å lansere et (stjålet) programvaretoken, trenger du ikke å ha tilgang til offerets datamaskin- og maskinvaretoken. Hele komplekset med innledende verifisering passerer bare når du importerer den første generasjonsvektoren - et tilfeldig 128-bits tall som tilsvarer et spesifikt token (). Dette tallet har ingen relasjon til frøet, som da er relatert til genereringen av det faktiske programvaretokenet. Hvis SecurID Token Seed-sjekken på en eller annen måte kan hoppes over (lappet), vil ingenting hindre deg i å generere koder for tofaktorautorisasjon i fremtiden. Fox-IT hevder at omgåelse av sjekken kan oppnås ved å endre bare én instruksjon. Etter dette vil offerets system være fullstendig og lovlig åpent for angriperen uten bruk av spesielle verktøy og skall.
Kilde: 3dnews.ru
