Τρίτη, 27 Οκτωβρίου, 14:55
Αρχική security 2FA: Κινεζική hacking ομάδα παρακάμπτει τον έλεγχο ταυτότητας δύο παραγόντων

2FA: Κινεζική hacking ομάδα παρακάμπτει τον έλεγχο ταυτότητας δύο παραγόντων

Οι ερευνητές ασφαλείας ανακάλυψαν μια hacking ομάδα που σχετίζεται με την κυβέρνηση της Κίνας και πραγματοποιεί επιθέσεις παρακάμπτοντας τον έλεγχο ταυτότητας δύο παραγόντων (2FA).

Σύμφωνα με έκθεση της ολλανδικής εταιρείας Fox-IT, η hacking ομάδα είναι γνωστή στον κυβερνοχώρο ως APT20 και δουλεύει για την κυβέρνηση του Πεκίνου.

Βασικοί στόχοι των επιθέσεων είναι κυβερνητικές οντότητες και managed service providers (MSPs), που δραστηριοποιούνται σε τομείς όπως η αεροπορία, η υγειονομική περίθαλψη, τα οικονομικά, η ασφάλιση και η ενέργεια.

Hacking περιστατικά που σχετίζονται με την APT20

Σύμφωνα με την Fox-IT, η APT20 ξεκίνησε τις δραστηριότητές της το 2011, αλλά οι ερευνητές έχασαν τα ίχνη της κατά το διάστημα 2016-2017, γιατί οι hackers άλλαξαν τον τρόπο δράσης τους.

Τι κάνει η APT20 τα δύο τελευταία χρόνια;

Σύμφωνα με τους ερευνητές, οι hackers χρησιμοποιούσαν web servers ως αρχικό σημείο εισόδου στα συστήματα των στόχων. Μάλιστα, επικεντρώνονταν στο JBoss, μια πλατφόρμα εφαρμογών για επιχειρήσεις που χρησιμοποιείται συχνά σε μεγάλα εταιρικά και κυβερνητικά δίκτυα.

Οι hackers της APT20 εκμεταλλεύονταν ευπάθειες οι οποίες τους έδιναν πρόσβαση στους servers. Στη συνέχεια, εγκαθιστούσαν web shells και εξαπλώνονταν στο εσωτερικό των συστημάτων των θυμάτων.

Έπειτα έκλεβαν κωδικούς πρόσβασης και έψαχναν λογαριασμούς διαχειριστή, προκειμένου να μεγιστοποιήσουν την πρόσβασή τους. Επίσης, αναζητούσαν VPN credentials για να κλιμακώσουν την πρόσβαση σε πιο ασφαλείς περιοχές του δικτύου του θύματος.

Παρ’ όλα αυτά, οι hackers κατάφεραν να μην γίνουν αντιληπτοί αυτά τα δύο χρόνια.

Αυτό το κατάφεραν χρησιμοποιώντας νόμιμα εργαλεία που ήταν ήδη εγκατεστημένα σε hacked συσκευές. Έτσι, δεν γίνονταν αντιληπτά από τα προγράμματα προστασίας από ιούς.

Η APT20  παρακάμπτει τον έλεγχο ταυτότητας δύο παραγόντων (2FA)

Οι ερευνητές διαπίστωσαν ότι οι hackers της APT20 παραβίασαν λογαριασμούς VPN, που προστατεύονταν με 2FA.

Το πώς το έκαναν, δεν έχει γίνει ακόμα γνωστό. Ωστόσο, οι ερευνητές έχουν κάνει μια υπόθεση. Πιστεύουν ότι η APT20 έκλεψε ένα RSA SecurID software token από ένα hacked σύστημα και το χρησιμοποίησε για να δημιουργήσει έγκυρους κωδικούς μίας χρήσης και να παρακάμψει το 2FA.

Για να χρησιμοποιηθεί ένα από αυτά τα software tokens, ο χρήστης θα έπρεπε να συνδέσει μια φυσική συσκευή (hardware) στον υπολογιστή του. Η συσκευή και το software token είναι σε θέση να δημιουργήσουν έναν έγκυρο κωδικό 2FA. Εάν δεν υπάρχει η συσκευή, το RSA SecureID software θα δημιουργήσει ένα σφάλμα.

Πώς ξεπέρασαν αυτό το θέμα οι hackers; Οι ερευνητές της Fox-IT εξηγούν:

Το software token δημιουργείται για ένα συγκεκριμένο σύστημα, αλλά οι hackers έχουν πρόσβαση στο σύστημα του θύματος, οπότε τα πράγματα είναι απλά.

Το μόνο που χρειάζεται να κάνουν οι hackers για να χρησιμοποιήσουν τους κωδικούς για τον έλεγχο ταυτότητας δύο παραγόντων (2FA) είναι να κλέψουν ένα RSA SecurID Software Token.

Operation Wocao

Οι ερευνητές της Fox-IT δήλωσαν ότι κατάφεραν να ανακαλύψουν τις επιθέσεις της APT20 επειδή μια από τις εταιρείες-θύματα ζήτησε έρευνα για ένα hacking περιστατικό.

Περισσότερες λεπτομέρειες σχετικά με αυτές τις επιθέσεις βρίσκονται σε μια έκθεση με το όνομα Operation Wocao.

Οι hackers προσπαθούν να τρέξουν διάφορες εντολές στα Windows. Όταν οι εντολές αποτυγχάνουν, οι hackers της APT20 καταλαβαίνουν ότι έχουν γίνει αντιληπτοί και πληκτρολογούν μια τελευταία εντολή, το wocao, το οποίο στην κινεζική αργκό σημαίνει «να πάρει!»

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Το τηλεσκόπιο της NASA ανακαλύπτει πόσιμο νερό στο φεγγάρι

Πριν από έντεκα χρόνια, ένα διαστημικό σκάφους άλλαξε την άποψη μας για το φεγγάρι για πάντα. Τα δεδομένα που συλλέχθηκαν από τους...

Microsoft: Ενισχύει τις δυνατότητες ανίχνευσης password spray επιθέσεων

Η Microsoft έχει βελτιώσει σημαντικά τις δυνατότητες ανίχνευσης password spray επιθέσεων στο Azure Active Directory (Azure AD) και έχει φτάσει στο σημείο...

Πώς θα αποτρέψουμε τις εταιρείες να βρίσκουν τον αριθμό τηλεφώνου μας

Την εποχή της διαφήμισης, όσο περισσότερες πληροφορίες για τους χρήστες είναι γνωστές τόσο πιο βολικό είναι για τις εταιρείες. Και ειδικότερα, οι...

Παραβίαση σε κλινική ψυχοθεραπείας οδήγησε σε εκβιασμούς ασθενών

Πριν δύο χρόνια, έλαβε χώρα μια κυβερνοεπίθεση σε μια φινλανδική κλινική ψυχοθεραπείας, η οποία κατέληξε σε κλοπή δεδομένων και απαίτηση λύτρων. Τώρα,...

Αυστραλία: Ενισχύει την κυβερνοασφάλεια και την προστασία απορρήτου!

Η κυβέρνηση της Νέας Νότιας Ουαλίας στην Αυστραλία έχει δημιουργήσει μια ειδική ομάδα, με στόχο να ενισχύσει την κυβερνοασφάλεια και την προστασία...

Πάνω από 100 συστήματα άρδευσης αφέθηκαν εκτεθειμένα στο διαδίκτυο

Πάνω από 100 έξυπνα συστήματα άρδευσης αφέθηκαν εκτεθειμένα στο διαδίκτυο χωρίς κωδικό πρόσβασης τον περασμένο μήνα, επιτρέποντας σε οποιονδήποτε να έχει πρόσβαση...

Παραβίαση στη Nitro Software επηρεάζει πιθανότατα Google, Apple, Microsoft

Η υπηρεσία Nitro PDF (της Nitro Software) υπέστη μια παραβίαση δεδομένων, η οποία λέγεται ότι επηρεάζει πολλές γνωστές εταιρείες, όπως η Google,...

Χάκερ κλέβει 24 εκατ. $ από την υπηρεσία cryptocurrency Harvest Finance

Ένας χάκερ έχει κλέψει «cryptocurrency assets» αξίας περίπου 24 εκατομμυρίων δολαρίων από την υπηρεσία αποκεντρωμένης χρηματοδότησης (DeFi) Harvest Finance, μια διαδικτυακή πύλη...

Ransomware επίθεση “χτύπησε” εκλογικό database στη Τζόρτζια των ΗΠΑ!

Μια ransomware επίθεση έπληξε κομητεία της Τζόρτζια των ΗΠΑ στις αρχές του μήνα, επηρεάζοντας ένα database που χρησιμοποιείται για την επαλήθευση των...

Παραβίαση δεδομένων στο γραφείο του Σερίφη στην Hennepin

Παραβίαση δεδομένων υπέστη το Γραφείο του Σερίφη στην κομητεία του Hennepin, η οποία είχε σαν αποτέλεσμα την διαρροή πληροφοριών περίπου 1400 ατόμων.