Çinli hackerlar iki faktörlü kimlik doğrulamayı atlamak için, ancak bu kesin değil. Siber güvenlik danışmanlık hizmetlerinde uzmanlaşan Hollandalı Fox-IT şirketinin varsayımları aşağıda yer almaktadır. Doğrudan kanıt bulunmayan APT20 adlı bir grup hackerın Çin devlet kurumları için çalıştığı varsayılıyor.
APT20 grubuna atfedilen bilgisayar korsanlığı faaliyeti ilk olarak 2011 yılında keşfedildi. 2016-2017'de grup uzmanların dikkatinden kayboldu ve yakın zamanda Fox-IT, siber güvenlik ihlallerini araştırmak isteyen müşterilerinden birinin ağında APT20 müdahalesinin izlerini keşfetti.
Fox-IT'e göre, APT20 grubu son iki yıldır ABD, Fransa, Almanya, İtalya, Meksika, Portekiz, İspanya, İngiltere ve Brezilya'daki devlet kurumları, büyük şirketler ve hizmet sağlayıcıların verilerini hackliyor ve bu verilere erişiyor. APT20 hackerları havacılık, sağlık, finans, sigorta, enerji gibi alanlarda ve hatta kumar ve elektronik kilitler gibi alanlarda da faaliyet gösteriyor.
Tipik olarak APT20 bilgisayar korsanları, kurbanların sistemlerine girmek için web sunucularındaki ve özellikle Jboss kurumsal uygulama platformundaki güvenlik açıklarını kullandı. Bilgisayar korsanları, kabuklara erişip yükledikten sonra kurbanların ağlarına tüm olası sistemlere sızdı. Bulunan hesaplar, saldırganların kötü amaçlı yazılım yüklemeden standart araçları kullanarak verileri çalmasına olanak sağladı. Ancak asıl sorun, APT20 grubunun token kullanarak iki faktörlü kimlik doğrulamayı atlayabildiğinin iddia edilmesi.
Araştırmacılar, bilgisayar korsanlarının iki faktörlü kimlik doğrulamayla korunan VPN hesaplarına bağlı olduğuna dair kanıt bulduklarını söylüyor. Bunun nasıl gerçekleştiğini Fox-IT uzmanları yalnızca tahminde bulunabilir. En olası olasılık, bilgisayar korsanlarının saldırıya uğrayan sistemden RSA SecurID yazılım belirtecini çalabilmesidir. Bilgisayar korsanları, çalınan programı kullanarak iki faktörlü korumayı atlamak için tek seferlik kodlar oluşturabilir.
Normal şartlarda bunu yapmak imkansızdır. Bir yazılım belirteci, yerel sisteme bağlı bir donanım belirteci olmadan çalışmaz. Bu olmadan RSA SecurID programı bir hata üretir. Belirli bir sistem için bir yazılım belirteci oluşturulur ve kurbanın donanımına erişim sağlanarak yazılım belirtecini çalıştırmak için belirli bir numara elde etmek mümkündür.
Fox-IT uzmanları, (çalınan) bir yazılım tokenını başlatmak için kurbanın bilgisayar ve donanım tokenına erişiminizin olması gerekmediğini iddia ediyor. İlk doğrulama kompleksinin tamamı yalnızca ilk nesil vektörü içe aktarırken geçer - belirli bir belirtece karşılık gelen rastgele 128 bitlik bir sayı (). Bu sayının tohumla hiçbir ilişkisi yoktur, bu da gerçek yazılım belirtecinin oluşturulmasıyla ilgilidir. SecurID Token Seed kontrolü bir şekilde atlanabiliyorsa (yama yapılabiliyorsa), o zaman hiçbir şey gelecekte iki faktörlü yetkilendirme için kod oluşturmanızı engelleyemez. Fox-IT, kontrolü atlamanın yalnızca bir talimatı değiştirerek sağlanabileceğini iddia ediyor. Bundan sonra kurbanın sistemi, özel yardımcı programlar ve kabuklar kullanılmadan saldırgana tamamen ve yasal olarak açık olacaktır.
Kaynak: 3dnews.ru