Китайска хакерска група, за която се смята, че действа от името на правителството на Пекин, се е научила как да заобиколи двуфакторната идентификация (2FA) при атаки срещу правителствени и индустриални цели, съобщи ZDNet.
Съобщава се, че групата, известна като APT20, се е опитала да компрометира идентификационни данни, които биха им предоставили повишени нива на достъп в мрежите на техните жертви, според ZDNet, позовавайки се на нов доклад на холандската компания за киберсигурност Fox-IT.
Въпреки че заобикалянето на 2FA не е нещо ново, поради сложността на хакване на идентификацията, подобни атаки се случват много рядко. Не е напълно ясно как APT20 са пробили защитата, но ZDNet съобщава за една интересна теория:
“APT20 са придобили RSA SecurID софтуерни маркери от хакната вече система, които след това са използвали, за да генерират валидни еднократни кодове и да заобикалят 2FA.”
Според експерти по киберсигурност, това е възможно. За да използва един от тези софтуерни маркери, потребителят трябва да свърже физическо (хардуерно) устройство към своя компютър. След това, устройството и софтуерният маркер ще генерират валиден 2FA код. Ако устройството липсва, софтуерът RSA SecureID ще генерира грешка.
Според Fox-IT, APT20 вероятно са разработили своя собствена технология на байпас. Групата до голяма степен е успяла да остане извън извън обсега на “радарите” , като разчита на” законни“ канали, като VPN достъп, за да извършва атаките си.
“Идентифицирахме жертви на тази група в 10 държави. Целите са правителствени организации, доставчици на услуги, широк спектър от индустрии, включително енергетика, здравеопазване и високи технологии “, се пояснява в доклада. Съобщава се, че целите се намират в 10 страни: Бразилия, Китай, Франция, Германия, Италия, Мексико, Португалия, Испания, Обединеното кралство и САЩ.
След като бъде придобит първоначалният достъп, групата се “снишава”, като отваря персонализирани “задни врати” на множество сървъри, казаха изследователите. Оттам започва процесът на събиране на чувствителните и допълнителни идентификационни данни, които да помогнат за повишаване на нивото им на достъп.
Когато групата е готова, тя обикновено изтрива своите инструменти и компресираните файлове, които създавал за извличане, за да попречи на разследването.
