Hakerat kinezë
Aktiviteti i hakerëve që i atribuohet grupit APT20 u zbulua për herë të parë në vitin 2011. Në vitet 2016-2017, grupi u zhduk nga vëmendja e specialistëve dhe vetëm së fundmi Fox-IT zbuloi gjurmë të ndërhyrjes APT20 në rrjetin e një prej klientëve të tij, i cili kërkoi të hetonte shkeljet e sigurisë kibernetike.
Sipas Fox-IT, gjatë dy viteve të fundit, grupi APT20 ka hakuar dhe ka aksesuar të dhënat nga agjencitë qeveritare, kompanitë e mëdha dhe ofruesit e shërbimeve në SHBA, Francë, Gjermani, Itali, Meksikë, Portugali, Spanjë, MB dhe Brazil. Hakerët e APT20 kanë qenë gjithashtu aktivë në fusha të tilla si aviacioni, kujdesi shëndetësor, financat, sigurimet, energjia, madje edhe në fusha të tilla si kumari dhe bravat elektronike.
Në mënyrë tipike, hakerat APT20 përdornin dobësi në serverët e uebit dhe, veçanërisht, në platformën e aplikacionit të ndërmarrjes Jboss për të hyrë në sistemet e viktimave. Pas aksesit dhe instalimit të predhave, hakerët depërtuan në rrjetet e viktimave në të gjitha sistemet e mundshme. Llogaritë e gjetura lejuan sulmuesit të vidhnin të dhëna duke përdorur mjete standarde, pa instaluar malware. Por problemi kryesor është se grupi APT20 dyshohet se ishte në gjendje të anashkalonte vërtetimin me dy faktorë duke përdorur shenja.
Studiuesit thonë se kanë gjetur prova që hakerët e lidhur me llogaritë VPN mbrohen nga vërtetimi me dy faktorë. Si ndodhi kjo, specialistët e Fox-IT mund vetëm të spekulojnë. Mundësia më e mundshme është që hakerat ishin në gjendje të vidhnin tokenin e softuerit RSA SecurID nga sistemi i hakuar. Duke përdorur programin e vjedhur, hakerët mund të gjenerojnë kode një herë për të anashkaluar mbrojtjen me dy faktorë.
Në kushte normale kjo është e pamundur të bëhet. Një shenjë softuerike nuk funksionon pa një shenjë harduerike të lidhur me sistemin lokal. Pa të, programi RSA SecurID gjeneron një gabim. Një shenjë softueri krijohet për një sistem specifik dhe, duke pasur akses në harduerin e viktimës, është e mundur të merret një numër specifik për të ekzekutuar tokenin e softuerit.
Specialistët e Fox-IT pretendojnë se për të lançuar një token softuerësh (të vjedhur), nuk keni nevojë të keni akses në kompjuterin dhe tokenin e harduerit të viktimës. I gjithë kompleksi i verifikimit fillestar kalon vetëm kur importoni vektorin e gjenerimit fillestar - një numër i rastësishëm 128-bit që korrespondon me një shenjë specifike (
Burimi: 3dnews.ru