Un grup de hackeri cu presupuse legaturi cu guvernul chinez a fost acuzat de penetrearea  retelelor la nivel mondial, dar ce este neobisnuit este faptul ca au reusit sa  ocoleasca autentificarea cu doi factori.

 

Hackul a fost detaliat la sfarsitul saptamanii trecute de cercetatorii de securitate de la Fox-IT Holding B.V. APT20, grupul din spatele campaniei  vizand serverele web ca primul punct de intrare cu un accent special pe Jboss.

 

O data intrati in sistem, grupul instaleaza web shelluri, apoi se raspandesc in toata reteaua. Afisand un comportament destul de tipic, grupul cauta parole si conturi de administrator pentru a obtine mai multe informatii de la tintele lor, utilizand datele de retea virtuale pentru un acces mai sigur.

 

Faptul interesant este ca cercetatorii sustin ca au gasit dovezi conform carora APT20 avea acces la conturile VPN care erau protejate de 2FA. Hacking 2FA nu este nou, iar procesul implicat este oarecum complicat, dar se spune ca APT20 a gasit o noua modalitate de a ocoli procesul.

 

Se crede ca hackerii au furat un token software RSA SecurID de la un sistem hacked, apoi au modificat cheia pentru a functiona pe diferite sisteme.

 

„Tokenul software este generat pentru un sistem specific, dar, desigur, aceasta valoare specifica a sistemului ar putea fi usor preluata de catre raufacator atunci cand are acces la sistemul victimei”, au explicat cercetatorii de securitate. „Dupa cum se dovedeste, hackerul nu trebuie sa obtina valorea specifica a sistemului victimei, deoarece aceasta valoare specifica este verificata doar la importul SecurID Token si nu are nicio legatura cu seed-ul folosit pentru a genera tokenuri reale 2FA. Acest lucru inseamna ca hackerul poate, de fapt, sa corecteze pur si simplu procesul care verifica daca tokenul soft importat a fost generat pentru acest sistem si nu trebuie sa se deranjeze deloc cu furtul valorii specifice sistemului.”

 

Desi se aplica in mod special la tokenuri bazate pe software, metoda este deranjanta, in special, avand in vedere ca 2FA este mentinuta in mod regulat ca o modalitate de a preveni hackingul ca acesta.