Wadukuzi wa Kichina Kukwepa uthibitishaji wa sababu mbili, lakini hii sio hakika. Yafuatayo ni mawazo ya kampuni ya ushauri ya Uholanzi ya Fox-IT. Wanapendekeza, ingawa hakuna ushahidi wa moja kwa moja, kwamba kikundi cha wadukuzi kinachoitwa APT20 kinafanyia kazi serikali ya Uchina.
Shughuli ya udukuzi inayohusishwa na kundi la APT20 iligunduliwa kwa mara ya kwanza mwaka wa 2011. Kikundi hicho kilitoweka kutoka kwa rada ya wataalamu mnamo 2016-2017, na hivi majuzi tu Fox-IT iligundua athari za uvamizi wa APT20 kwenye mtandao wa mmoja wa wateja wake, ambaye alikuwa ameomba uchunguzi kuhusu ukiukaji wa usalama wa mtandao.
Kulingana na Fox-IT, katika kipindi cha miaka miwili iliyopita, kikundi cha APT20 kimekuwa kikidukua na kufikia data kutoka kwa mashirika ya serikali, makampuni makubwa, na watoa huduma nchini Marekani, Ufaransa, Ujerumani, Italia, Mexico, Ureno, Hispania, Uingereza na Brazili. Wadukuzi wa APT20 pia wamekuwa wakifanya kazi katika sekta kama vile usafiri wa anga, huduma za afya, fedha, bima, nishati, na hata kamari na kufuli za kielektroniki.
Wadukuzi wa APT20 kwa kawaida walitumia udhaifu katika seva za wavuti, hasa jukwaa la maombi la biashara ya Jboss, kufikia mifumo ya waathiriwa. Baada ya kupata na kusakinisha makombora, wavamizi hao kisha walipenya mifumo yote inayowezekana kupitia mitandao ya wahasiriwa. Akaunti zilizogunduliwa ziliruhusu wavamizi kuiba data kwa kutumia zana za kawaida, bila kusakinisha programu hasidi. Lakini jambo linalohusu zaidi ni kwamba kikundi cha APT20 kinadaiwa kiliweza kupitisha uthibitishaji wa mambo mawili kwa kutumia tokeni.
Watafiti wanadai kuwa wamepata ushahidi kwamba wadukuzi waliunganishwa kwenye akaunti za VPN zinazolindwa na uthibitishaji wa mambo mawili. Wataalamu wa Fox-IT wanaweza kubashiri tu jinsi hii ilifanyika. Maelezo yanayowezekana zaidi ni kwamba wadukuzi waliiba tokeni ya programu ya RSA SecurID kutoka kwa mfumo ulioathiriwa. Kwa kutumia programu iliyoibiwa, wavamizi wanaweza kutengeneza misimbo ya mara moja ili kukwepa uthibitishaji wa vipengele viwili.
Katika hali ya kawaida, hii haiwezekani. Tokeni ya programu haitafanya kazi bila tokeni ya maunzi iliyounganishwa kwenye mfumo wa ndani. Bila hivyo, programu ya RSA SecurID inarudisha kosa. Ishara ya programu imeundwa kwa mfumo maalum, na kwa upatikanaji wa vifaa vya mwathirika, nambari maalum inaweza kupatikana ili kuzindua ishara ya programu.
Wataalamu wa Fox-IT wanadai kwamba ufikiaji wa tokeni ya kompyuta na maunzi ya mwathiriwa hauhitajiki ili kuzindua tokeni ya programu (iliyoibiwa). Mchakato mzima wa uthibitishaji unakamilika tu baada ya kuagiza vekta ya kizazi cha kwanza—nambari isiyo ya kawaida ya biti-128 inayolingana na ishara maalum () Nambari hii haihusiani na mbegu, ambayo hutumiwa kutengeneza tokeni halisi ya programu. Ikiwa hundi ya Mbegu ya SecurID Token inaweza kwa njia fulani kupitwa (iliyotiwa viraka), basi hakuna kitakachozuia kizazi kijacho cha misimbo ya uthibitishaji wa sababu mbili. Fox-IT inadai kuwa kupitisha hundi kunaweza kupatikana kwa kubadilisha maagizo moja tu. Baada ya hayo, mfumo wa mhasiriwa utapatikana kabisa na kisheria kwa mshambuliaji, bila ya haja ya zana maalum au shells.
Chanzo: 3dnews.ru
