中國駭客 繞過雙重身份驗證,但這並不確定。以下是專門從事網路安全諮詢服務的荷蘭公司 Fox-IT 的假設。沒有直接證據顯示被稱為APT20的駭客組織為中國政府工作。
20 年,APT2011 組織的駭客活動首次被發現。 2016 年至 2017 年,該組織從專家的雷達上消失,直到最近,Fox-IT 才在其一位要求調查網路安全漏洞的客戶網路中發現了 APT20 幹擾的痕跡。
根據Fox-IT通報,過去兩年來,APT20組織一直在對美國、法國、德國、義大利、墨西哥、葡萄牙、西班牙、英國和巴西等國的政府機構、大型企業和服務提供者進行攻擊,竊取資料。 APT20駭客也活躍於航空、醫療、金融、保險、能源等領域,甚至涉足賭博、電子鎖等領域。
通常,APT20 駭客利用網路伺服器(尤其是 Jboss 企業應用平台)中的漏洞進入受害者的系統。在存取並安裝shell後,駭客便透過受害者的網路滲透到所有可能的系統中。發現的帳戶允許攻擊者使用標準工具竊取數據,而無需安裝惡意軟體。但主要問題是,APT20 組織據稱能夠使用令牌繞過雙重認證。
研究人員稱,他們發現證據表明駭客已經存取了受雙重認證保護的 VPN 帳戶。 Fox-IT 專家只能推測這件事是如何發生的。其中最有可能的是,駭客能夠從受感染的系統中竊取 RSA SecurID 軟體令牌。利用竊取的程序,駭客可以產生一次性代碼來繞過雙重保護。
在正常情況下,這是不可能做到的。如果沒有硬體令牌連接到本機系統,軟體令牌就無法運作。如果沒有它,RSA SecurID 程式將傳回錯誤。為特定係統建立軟體令牌,透過存取受害者的硬件,可以獲得特定的號碼來啟動軟體令牌。
Fox-IT 專家聲稱,要啟動(被盜的)軟體令牌,無需存取受害者的電腦和硬體令牌。整個初始驗證過程僅在導入初始生成向量(對應於特定 token 的隨機 128 位元數字)時進行()。這個數字與種子無關,種子與實際軟體令牌的產生有關。如果可以以某種方式跳過(修補)SecurID 令牌種子檢查,那麼沒有什麼可以阻止將來產生雙重因素授權的程式碼。 Fox-IT 聲稱只需改變一條指令即可繞過檢查。此後,受害者的系統將完全合法地向攻擊者開放,無需使用特殊的實用程式和shell。
來源: 3dnews.ru
