Xitoy xakerlari
APT20 guruhiga tegishli xakerlik faoliyati birinchi marta 2011 yilda aniqlangan. 2016-2017 yillarda guruh mutaxassislar e'tiboridan g'oyib bo'ldi va yaqinda Fox-IT o'z mijozlaridan birining tarmog'ida APT20 aralashuvi izlarini aniqladi va u kiberxavfsizlikning buzilishini tekshirishni so'radi.
Fox-IT maʼlumotlariga koʻra, soʻnggi ikki yil ichida APT20 guruhi AQSh, Fransiya, Germaniya, Italiya, Meksika, Portugaliya, Ispaniya, Buyuk Britaniya va Braziliya davlat idoralari, yirik kompaniyalari va xizmat koʻrsatuvchi provayderlarning maʼlumotlarini buzish va ularga kirish bilan shugʻullangan. APT20 xakerlari aviatsiya, sog'liqni saqlash, moliya, sug'urta, energetika kabi sohalarda va hatto qimor o'yinlari va elektron qulflar kabi sohalarda ham faol bo'lgan.
Odatda, APT20 xakerlari jabrlanuvchilar tizimlariga kirish uchun veb-serverlar va, xususan, Jboss korporativ dastur platformasidagi zaifliklardan foydalangan. Chig'anoqlarga kirish va o'rnatishdan so'ng, xakerlar qurbonlar tarmoqlariga barcha mumkin bo'lgan tizimlarga kirib borishdi. Topilgan hisoblar tajovuzkorlarga zararli dasturlarni o'rnatmasdan standart vositalar yordamida ma'lumotlarni o'g'irlash imkonini berdi. Ammo asosiy muammo shundaki, APT20 guruhi tokenlar yordamida ikki faktorli autentifikatsiyani chetlab o'tishga muvaffaq bo'lgan.
Tadqiqotchilarning ta'kidlashicha, ular xakerlar ikki faktorli autentifikatsiya bilan himoyalangan VPN akkauntlariga ulanganiga oid dalillarni topdilar. Bu qanday sodir bo'ldi, Fox-IT mutaxassislari faqat taxmin qilishlari mumkin. Eng katta ehtimollik shundaki, xakerlar buzilgan tizimdan RSA SecurID dasturiy tokenini o'g'irlay olgan. O'g'irlangan dasturdan foydalanib, xakerlar ikki faktorli himoyani chetlab o'tish uchun bir martalik kodlarni yaratishi mumkin edi.
Oddiy sharoitlarda buni qilish mumkin emas. Mahalliy tizimga ulangan apparat tokenisiz dasturiy ta'minot tokeni ishlamaydi. Busiz RSA SecurID dasturi xatolik hosil qiladi. Dasturiy ta'minot tokeni ma'lum bir tizim uchun yaratilgan va jabrlanuvchining uskunasiga kirish imkoniga ega bo'lgan holda, dasturiy ta'minot tokenini ishga tushirish uchun ma'lum bir raqamni olish mumkin.
Fox-IT mutaxassislarining ta'kidlashicha, (o'g'irlangan) dasturiy ta'minot tokenini ishga tushirish uchun siz jabrlanuvchining kompyuteri va apparat tokeniga kirish huquqiga ega bo'lishingiz shart emas. Dastlabki tekshirishning butun majmuasi faqat dastlabki avlod vektorini import qilishda o'tadi - ma'lum bir tokenga mos keladigan tasodifiy 128 bitli raqam (
Manba: 3dnews.ru