kinesiska hackare
Hackingaktivitet som tillskrivs APT20-gruppen upptäcktes först 2011. Under 2016-2017 försvann gruppen från specialisternas uppmärksamhet, och först nyligen upptäckte Fox-IT spår av APT20-interferens i nätverket hos en av sina kunder, som bad att få utreda kränkningar av cybersäkerhet.
Enligt Fox-IT har APT20-gruppen under de senaste två åren hackat och kommit åt data från statliga myndigheter, stora företag och tjänsteleverantörer i USA, Frankrike, Tyskland, Italien, Mexiko, Portugal, Spanien, Storbritannien och Brasilien. APT20-hackare har också varit aktiva inom områden som flyg, sjukvård, finans, försäkringar, energi och även inom områden som spel och elektroniska lås.
Vanligtvis använde APT20-hackare sårbarheter i webbservrar och i synnerhet i Jboss företagsapplikationsplattform för att komma in i offrens system. Efter att ha kommit åt och installerat skal, penetrerade hackare offrens nätverk i alla möjliga system. De konton som hittades gjorde att angripare kunde stjäla data med hjälp av standardverktyg utan att installera skadlig programvara. Men det största problemet är att APT20-gruppen påstås kunna kringgå tvåfaktorsautentisering med hjälp av tokens.
Forskare säger att de har hittat bevis för att hackare anslutit till VPN-konton skyddade av tvåfaktorsautentisering. Hur detta gick till kan Fox-IT-specialister bara spekulera i. Den mest troliga möjligheten är att hackare kunde stjäla RSA SecurID-programvaran från det hackade systemet. Med hjälp av det stulna programmet kunde hackare sedan generera engångskoder för att kringgå tvåfaktorsskydd.
Under normala förhållanden är detta omöjligt att göra. En mjukvarutoken fungerar inte utan en hårdvarutoken ansluten till det lokala systemet. Utan det genererar RSA SecurID-programmet ett fel. En mjukvarutoken skapas för ett specifikt system och med tillgång till offrets hårdvara är det möjligt att få ett specifikt nummer för att köra mjukvarutoken.
Fox-IT-specialister hävdar att för att lansera en (stulen) mjukvarutoken behöver du inte ha tillgång till offrets dator- och hårdvarutoken. Hela komplexet av initial verifiering passerar endast när den initiala genereringsvektorn importeras - ett slumpmässigt 128-bitars nummer som motsvarar en specifik token (
Källa: 3dnews.ru