中國駭客 繞過雙重身份驗證,但這並不確定。 以下是專門從事網路安全諮詢服務的荷蘭公司 Fox-IT 的假設。 據推測,一個名為 APT20 的駭客組織正在為中國政府機構工作,但沒有直接證據。
APT20 組織的駭客活動於 2011 年首次被發現。 2016-2017 年,該組織從專家的視線中消失,直到最近 Fox-IT 才在其一位客戶的網路中發現了 APT20 幹擾的痕跡,該客戶要求調查網路安全違規行為。
根據 Fox-IT 報導,過去兩年,APT20 組織一直在駭客攻擊和存取美國、法國、德國、義大利、墨西哥、葡萄牙、西班牙、英國和巴西的政府機構、大公司和服務提供者的資料。 APT20駭客也活躍在航空、醫療、金融、保險、能源等領域,甚至賭博、電子鎖等領域。
通常,APT20 駭客利用 Web 伺服器中的漏洞,特別是 Jboss 企業應用程式平台中的漏洞來進入受害者的系統。 存取並安裝 shell 後,駭客將受害者的網路滲透到所有可能的系統中。 發現的帳戶允許攻擊者使用標準工具竊取數據,而無需安裝惡意軟體。 但主要的問題是,APT20 組織據稱能夠使用令牌繞過雙重認證。
研究人員表示,他們發現證據表明駭客連接到受雙重認證保護的 VPN 帳戶。 Fox-IT 專家只能推測這是如何發生的。 最有可能的可能性是駭客能夠從被駭客入侵的系統中竊取 RSA SecurID 軟體令牌。 使用被盜的程序,駭客可以產生一次性代碼來繞過兩因素保護。
在正常情況下這是不可能做到的。 如果沒有連接到本機系統的硬體令牌,軟體令牌將無法運作。 如果沒有它,RSA SecurID 程式會產生錯誤。 軟體令牌是為特定係統創建的,透過存取受害者的硬件,可以獲得運行軟體令牌的特定號碼。
Fox-IT 專家聲稱,為了啟動(被盜的)軟體令牌,您不需要存取受害者的電腦和硬體令牌。 僅當導入初始生成向量 - 對應於特定令牌的隨機 128 位數字()。 該數字與種子無關,而種子與實際軟體令牌的生成相關。 如果可以以某種方式跳過(修補)SecurID 令牌種子檢查,那麼沒有什麼可以阻止您將來產生用於雙因素授權的程式碼。 Fox-IT 聲稱只需更改一條指令即可繞過檢查。 此後,受害者的系統將完全合法地向攻擊者開放,無需使用特殊的實用程式和 shell。
來源: 3dnews.ru