Хакери з Китаю навчилися обходити двухфакторную авторизацію

Хакери усього світу безперервно відчувають системибезпеки фірм, державних і фінансових організацій, в прагненні здобути нелегальним шляхом необхідну інформацію або викрасти кошти. Деякі хакерські групи, такі як APT20 з Китаю іноді пов'язують з офіційною владою. Компанія Fox-IT розповсюдила доповідь «Операція Wocao: пролити світло на одну з прихованих хакерських груп Китаю», в якому розповідає про роботу членів організації APT20, недавно обійшли систему двофакторної авторизації (2ФА) і проникли на сервера однієї з великих корпорацій.

Угруповання APT20 використовує приховані методуроботи, проявляє підвищену обережність. Слід організації пропав в 2011 році, і багато фахівців заговорили про припинення роботи APT20. Тим часом, за даними експертів Fox-IT, хакери працювали над методикою обходу двофакторної аутентифікації, для забезпечення проникнення на сервера корпоративних мереж. При цьому зловмисники дотримуються принципу використання стандартних рішень, не створюючи власного програмного забезпечення, за яким їх можна відстежити.

Подолання системи двухфакторной авторизаціїстало можливим після викрадень токена RSA SecurID, з необхідної зловмисникам мережі. На підставі цього токена хакери змогли створити всього один ключ, який відкривав доступ до системи. Для генерації коду доступу до системи немає необхідності отримувати фізичний доступ. Коли немає необхідності імпортувати ядро ​​RSA SecurID і створювати ключі доступу з різних місць, перевірка обмежується символьної областю ключа, що і зробили «експерти» з APT20.

Однак розслідування інциденту виявило, щоданий метод не є вразливістю методики 2ФА, так як хакери отримали токен RSA SecurID, або з рук інсайдера, або просто вкрали, що полегшило їм доступ в систему. В даний час хакери вигнані з мережі корпорації, а про завдані збитки не повідомляється.

Джерело: FoxIT