قراصنة من الصين يتعلمون تجاوز إذن عاملين

قراصنة في جميع أنحاء العالم باستمرار اختبار النظمالشركات الأمنية والحكومية والمؤسسات المالية ، في محاولة للحصول بشكل غير قانوني على المعلومات اللازمة أو سرقة الأموال. ترتبط بعض مجموعات المتسللين ، مثل APT20 من الصين ، أحيانًا بالسلطات الرسمية. أصدرت Fox-IT تقريرًا بعنوان "عملية Wocao: إلقاء الضوء على واحدة من مجموعات الاختراق الخفية في الصين ، والتي تتحدث عن عمل أعضاء APT20 الذين تحايلوا مؤخرًا على ترخيص عاملين (2FA) واخترقوا خوادم إحدى أكبر الشركات.

يستخدم تجميع APT20 طريقة مخفيةالعمل ، وممارسة الحذر الشديد. اختفى مسار المنظمة في عام 2011 ، وبدأ العديد من الخبراء يتحدثون عن إيقاف APT20. وفي الوقت نفسه ، وفقًا لخبراء Fox-IT ، عمل المتسللون على تقنية تجاوز المصادقة ثنائية العوامل لضمان تغلغل شبكات الشركات في الخوادم. في الوقت نفسه ، يلتزم المهاجمون بمبدأ استخدام الحلول القياسية ، دون إنشاء برامجهم الخاصة التي يمكن من خلالها تتبعهم.

التغلب على نظام ترخيص عاملينأصبح ممكنا بعد اختطاف رمزية RSA SecurID ، من الشبكة اللازمة للمهاجمين. بناءً على هذا الرمز المميز ، تمكن المتسللون من إنشاء مفتاح واحد فقط ، مما فتح الوصول إلى النظام. ليست هناك حاجة للحصول على وصول فعلي لإنشاء رمز الوصول إلى النظام. عندما لا تكون هناك حاجة لاستيراد RSA SecurID الأساسية وإنشاء مفاتيح وصول من أماكن مختلفة ، يقتصر الاختيار على منطقة الحرف الخاصة بالمفتاح ، والتي تم إجراؤها بواسطة "الخبراء" من APT20.

ومع ذلك ، كشف التحقيق في الحادثهذه الطريقة ليست نقطة ضعف لطريقة 2FA ، لأن المتسللين تلقوا رمز RSA SecurID ، إما من أيدي المطلعين أو ببساطة سرقوا ، مما سهل وصولهم إلى النظام. حاليا ، يتم طرد المتسللين من شبكة الشركة ، ولم يتم الإبلاغ عن أي ضرر.

المصدر: FoxIT