kitajski hekerji zaobiti dvostopenjsko avtentikacijo, vendar to ni gotovo. Spodaj so domneve nizozemskega podjetja Fox-IT, ki je specializirano za storitve svetovanja na področju kibernetske varnosti. Domneva se, za kar ni neposrednih dokazov, da skupina hekerjev, imenovana APT20, dela za kitajske vladne agencije.
Hekerska dejavnost, pripisana skupini APT20, je bila prvič odkrita leta 2011. V letih 2016–2017 je skupina izginila iz pozornosti strokovnjakov in šele pred kratkim je Fox-IT odkril sledove motenj APT20 v omrežju ene od svojih strank, ki je zahtevala preiskavo kršitev kibernetske varnosti.
Po poročanju Fox-IT je skupina APT20 v zadnjih dveh letih vdrla in dostopala do podatkov vladnih agencij, velikih podjetij in ponudnikov storitev v ZDA, Franciji, Nemčiji, Italiji, Mehiki, Portugalski, Španiji, Veliki Britaniji in Braziliji. Hekerji APT20 so bili dejavni tudi na področjih, kot so letalstvo, zdravstvo, finance, zavarovalništvo, energetika in celo na področjih, kot so igre na srečo in elektronske ključavnice.
Običajno so hekerji APT20 za vstop v sisteme žrtev uporabili ranljivosti v spletnih strežnikih in zlasti v aplikacijski platformi za podjetja Jboss. Po dostopu in namestitvi lupin so hekerji prodrli v omrežja žrtev v vse možne sisteme. Najdeni računi so napadalcem omogočili krajo podatkov s standardnimi orodji brez namestitve zlonamerne programske opreme. Toda glavna težava je, da je skupina APT20 domnevno lahko obšla dvofaktorsko avtentikacijo z uporabo žetonov.
Raziskovalci pravijo, da so našli dokaze, da so se hekerji povezali z računi VPN, zaščitenimi z dvofaktorsko avtentikacijo. Kako se je to zgodilo, strokovnjaki Fox-IT lahko le ugibajo. Najverjetnejša možnost je, da je hekerjem uspelo ukrasti programski žeton RSA SecurID iz vdrtega sistema. Z uporabo ukradenega programa bi lahko hekerji nato ustvarili enkratne kode, da bi zaobšli dvofaktorsko zaščito.
V normalnih pogojih je to nemogoče. Programski žeton ne deluje brez žetona strojne opreme, povezanega z lokalnim sistemom. Brez tega program RSA SecurID ustvari napako. Programski žeton se ustvari za določen sistem in z dostopom do strojne opreme žrtve je mogoče pridobiti določeno številko za zagon programskega žetona.
Strokovnjaki Fox-IT trdijo, da za zagon (ukradenega) programskega žetona ni treba imeti dostopa do računalniškega in strojnega žetona žrtve. Celoten kompleks začetnega preverjanja poteka le pri uvozu vektorja začetne generacije - naključnega 128-bitnega števila, ki ustreza določenemu žetonu (). Ta številka nima nobene povezave s semenom, ki se nato nanaša na ustvarjanje dejanskega programskega žetona. Če je preverjanje SecurID Token Seed mogoče nekako preskočiti (popraviti), vam nič ne bo preprečilo ustvarjanja kod za dvofaktorsko avtorizacijo v prihodnosti. Fox-IT trdi, da je mogoče zaobiti preverjanje s spremembo samo enega navodila. Po tem bo sistem žrtve popolnoma in zakonito odprt za napadalca brez uporabe posebnih pripomočkov in lupin.
Vir: 3dnews.ru