โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > แฮกเกอร์ชาวจีนถูกจับได้ว่าเลี่ยงผ่านการตรวจสอบสิทธิ์แบบสองปัจจัย

แฮกเกอร์ชาวจีนถูกจับได้ว่าเลี่ยงผ่านการตรวจสอบสิทธิ์แบบสองปัจจัย

แฮกเกอร์ชาวจีน จับได้ เพื่อเลี่ยงผ่านการรับรองความถูกต้องด้วยสองปัจจัย แต่ก็ไม่แน่นอน ด้านล่างนี้เป็นสมมติฐานของบริษัท Fox-IT ในเนเธอร์แลนด์ ซึ่งเชี่ยวชาญด้านบริการให้คำปรึกษาด้านความปลอดภัยทางไซเบอร์ สันนิษฐานว่าไม่มีหลักฐานโดยตรงว่ากลุ่มแฮกเกอร์ชื่อ APT20 ทำงานให้กับหน่วยงานรัฐบาลจีน

แฮกเกอร์ชาวจีนถูกจับได้ว่าเลี่ยงผ่านการตรวจสอบสิทธิ์แบบสองปัจจัย

กิจกรรมของแฮ็กเกอร์ที่เกี่ยวข้องกับกลุ่ม APT20 ถูกค้นพบครั้งแรกในปี 2011 ในปี 2016-2017 กลุ่มนี้หายไปจากความสนใจของผู้เชี่ยวชาญ และเมื่อเร็ว ๆ นี้ Fox-IT ได้ค้นพบร่องรอยของการรบกวน APT20 ในเครือข่ายของลูกค้ารายหนึ่งซึ่งขอให้ตรวจสอบการละเมิดความปลอดภัยทางไซเบอร์

จากข้อมูลของ Fox-IT ในช่วงสองปีที่ผ่านมา กลุ่ม APT20 ได้แฮ็กและเข้าถึงข้อมูลจากหน่วยงานภาครัฐ บริษัทขนาดใหญ่ และผู้ให้บริการในสหรัฐอเมริกา ฝรั่งเศส เยอรมนี อิตาลี เม็กซิโก โปรตุเกส สเปน สหราชอาณาจักร และบราซิล แฮกเกอร์ APT20 ยังมีบทบาทในด้านต่างๆ เช่น การบิน การดูแลสุขภาพ การเงิน ประกันภัย พลังงาน และแม้แต่ในด้านต่างๆ เช่น การพนัน และระบบล็อคแบบอิเล็กทรอนิกส์

โดยทั่วไปแล้ว แฮกเกอร์ APT20 จะใช้ช่องโหว่บนเว็บเซิร์ฟเวอร์และโดยเฉพาะอย่างยิ่งในแพลตฟอร์มแอปพลิเคชันระดับองค์กร Jboss เพื่อเข้าสู่ระบบของเหยื่อ หลังจากเข้าถึงและติดตั้งเชลล์แล้ว แฮกเกอร์ก็เจาะเครือข่ายของเหยื่อเข้าไปในระบบที่เป็นไปได้ทั้งหมด บัญชีที่พบอนุญาตให้ผู้โจมตีขโมยข้อมูลโดยใช้เครื่องมือมาตรฐานโดยไม่ต้องติดตั้งมัลแวร์ แต่ปัญหาหลักคือกลุ่ม APT20 ถูกกล่าวหาว่าสามารถข้ามการตรวจสอบสิทธิ์แบบสองปัจจัยโดยใช้โทเค็นได้

แฮกเกอร์ชาวจีนถูกจับได้ว่าเลี่ยงผ่านการตรวจสอบสิทธิ์แบบสองปัจจัย

นักวิจัยกล่าวว่าพวกเขาพบหลักฐานที่แสดงว่าแฮกเกอร์เชื่อมต่อกับบัญชี VPN ได้รับการปกป้องโดยการตรวจสอบสิทธิ์แบบสองปัจจัย สิ่งนี้เกิดขึ้นได้อย่างไร ผู้เชี่ยวชาญของ Fox-IT ทำได้แค่คาดเดาเท่านั้น ความเป็นไปได้ที่เป็นไปได้มากที่สุดก็คือแฮกเกอร์สามารถขโมยโทเค็นซอฟต์แวร์ RSA SecurID จากระบบที่ถูกแฮ็กได้ การใช้โปรแกรมที่ถูกขโมยไป แฮกเกอร์สามารถสร้างรหัสแบบใช้ครั้งเดียวเพื่อหลีกเลี่ยงการป้องกันแบบสองปัจจัย

ภายใต้สภาวะปกติ สิ่งนี้ไม่สามารถทำได้ โทเค็นซอฟต์แวร์จะไม่ทำงานหากไม่มีโทเค็นฮาร์ดแวร์ที่เชื่อมต่อกับระบบภายในเครื่อง หากไม่มีสิ่งนี้ โปรแกรม RSA SecurID จะสร้างข้อผิดพลาด โทเค็นซอฟต์แวร์ถูกสร้างขึ้นสำหรับระบบเฉพาะ และเมื่อสามารถเข้าถึงฮาร์ดแวร์ของเหยื่อได้ จึงเป็นไปได้ที่จะรับหมายเลขเฉพาะเพื่อเรียกใช้โทเค็นซอฟต์แวร์

แฮกเกอร์ชาวจีนถูกจับได้ว่าเลี่ยงผ่านการตรวจสอบสิทธิ์แบบสองปัจจัย

ผู้เชี่ยวชาญของ Fox-IT อ้างว่าในการเปิดใช้โทเค็นซอฟต์แวร์ (ที่ถูกขโมย) คุณไม่จำเป็นต้องเข้าถึงโทเค็นคอมพิวเตอร์และฮาร์ดแวร์ของเหยื่อ การตรวจสอบเริ่มต้นที่ซับซ้อนทั้งหมดจะส่งผ่านเฉพาะเมื่อนำเข้าเวกเตอร์การสร้างเริ่มต้น - หมายเลขสุ่ม 128 บิตที่สอดคล้องกับโทเค็นเฉพาะ (เมล็ดโทเค็น SecurID). หมายเลขนี้ไม่เกี่ยวข้องกับข้อมูลเริ่มต้น ซึ่งจะเกี่ยวข้องกับการสร้างโทเค็นซอฟต์แวร์จริง หากสามารถข้ามการตรวจสอบ SecurID Token Seed ได้ (แพทช์) จะไม่มีอะไรขัดขวางไม่ให้คุณสร้างรหัสสำหรับการอนุญาตแบบสองปัจจัยในอนาคต Fox-IT อ้างว่าการข้ามการตรวจสอบสามารถทำได้โดยการเปลี่ยนคำสั่งเพียงคำสั่งเดียว หลังจากนี้ ระบบของเหยื่อจะเปิดให้ผู้โจมตีเข้าถึงได้อย่างสมบูรณ์และถูกกฎหมายโดยไม่ต้องใช้โปรแกรมอรรถประโยชน์และกระสุนพิเศษ



ที่มา: 3dnews.ru

เพิ่มความคิดเห็น