hacker trung quốc
Hoạt động của hacker được cho là của nhóm APT20 được phát hiện lần đầu tiên vào năm 2011. Trong năm 2016-2017, nhóm này đã biến mất khỏi sự chú ý của các chuyên gia và chỉ gần đây Fox-IT mới phát hiện ra dấu vết can thiệp APT20 vào mạng của một trong những khách hàng của họ, người đã yêu cầu điều tra các vi phạm an ninh mạng.
Theo Fox-IT, trong hai năm qua, nhóm APT20 đã hack và truy cập dữ liệu từ các cơ quan chính phủ, công ty lớn và nhà cung cấp dịch vụ ở Mỹ, Pháp, Đức, Ý, Mexico, Bồ Đào Nha, Tây Ban Nha, Anh và Brazil. Tin tặc APT20 cũng hoạt động tích cực trong các lĩnh vực như hàng không, y tế, tài chính, bảo hiểm, năng lượng và thậm chí cả các lĩnh vực như cờ bạc và khóa điện tử.
Thông thường, tin tặc APT20 đã sử dụng các lỗ hổng trong máy chủ web và đặc biệt là trong nền tảng ứng dụng doanh nghiệp Jboss để xâm nhập vào hệ thống của nạn nhân. Sau khi truy cập và cài đặt shell, tin tặc đã xâm nhập vào mạng của nạn nhân vào tất cả các hệ thống có thể có. Các tài khoản được tìm thấy cho phép kẻ tấn công đánh cắp dữ liệu bằng các công cụ tiêu chuẩn mà không cần cài đặt phần mềm độc hại. Nhưng vấn đề chính là nhóm APT20 được cho là có thể vượt qua xác thực hai yếu tố bằng cách sử dụng token.
Các nhà nghiên cứu cho biết họ đã tìm thấy bằng chứng cho thấy tin tặc kết nối với tài khoản VPN được bảo vệ bằng xác thực hai yếu tố. Làm thế nào điều này xảy ra, các chuyên gia Fox-IT chỉ có thể suy đoán. Khả năng rất có thể là tin tặc đã đánh cắp mã thông báo phần mềm RSA SecurID từ hệ thống bị tấn công. Bằng cách sử dụng chương trình bị đánh cắp, tin tặc sau đó có thể tạo mã một lần để vượt qua cơ chế bảo vệ hai yếu tố.
Trong điều kiện bình thường, điều này là không thể thực hiện được. Mã thông báo phần mềm không hoạt động nếu không có mã thông báo phần cứng được kết nối với hệ thống cục bộ. Không có nó, chương trình RSA SecurID sẽ phát sinh lỗi. Mã thông báo phần mềm được tạo cho một hệ thống cụ thể và có quyền truy cập vào phần cứng của nạn nhân, có thể lấy được số cụ thể để chạy mã thông báo phần mềm.
Các chuyên gia của Fox-IT khẳng định rằng để khởi chạy mã thông báo phần mềm (bị đánh cắp), bạn không cần có quyền truy cập vào máy tính và mã thông báo phần cứng của nạn nhân. Toàn bộ quá trình xác minh ban đầu chỉ vượt qua khi nhập vectơ thế hệ ban đầu - một số 128 bit ngẫu nhiên tương ứng với một mã thông báo cụ thể (
Nguồn: 3dnews.ru