Čínska hackerská skupina APT20, o ktorej sa predpokladá, že operuje s povolením vlády krajiny, dokázala pri najnovšom útoku obísť dvojfaktorovú autentifikáciu (2FA). Jej primárnymi cieľmi boli vládne subjekty a poskytovatelia IT služieb, píše Gizmodo.
Cieľom útoku boli subjekty po celom svete
Ako informoval portál ZDNet v pondelok, čínska skupina skúsených hackerov, známa ako APT20, dokázala v najnovšom útoku obísť dvojfaktorovú autentifikáciu (2FA), čo je druhá línia ochrany prihlasovania, ktorá väčšinou prebieha prostredníctvom unikátneho kódu, alebo iného typu sekundárnej autentifikácie.
Hlavnými cieľmi útoku skupiny boli vládne subjekty a poskytovatelia IT služieb v 10 krajinách po celom svete, pričom išlo o oblasti ako letectvo, zdravotníctvo, financie, energetika, alebo hazardné hry.
Tieto informácie prichádzajú od holandskej bezpečnostnej firmy Fox IT, ktorá v svojej správe dokumentuje, čo a ako táto skupina za posledné dva roky robila. Hackeri z APT20 využívali webové servery ako vstupový bod do cieľových systémov, pričom sa zamerali najmä na platformu JBoss, ktorá je prítomná vo veľkých firemných a vládnych sieťach.
Fox IT tiež zdôrazňuje, že aj napriek veľmi pôsobivej hackerskej činnosti, ktorú skupina za posledné 2 roky vykonávala, bola schopná zostať mimo dohľad.
Presný postup skupiny zatiaľ nie je jasný
Napriek tomu, že obchádzanie 2FA nie je vec, o ktorej by sme ešte nepočuli, takýto útok si vyžaduje vysokú úroveň sofistikovanosti. Zatiaľ nie je úplne jasné, ako sa to skupine podarilo, avšak bezpečnostní experti z Fox IT priniesli zaujímavú teóriu.
Podľa nich ukradli hackeri z napadnutého systému dôležitý RSA SecurID token, ktorý potom vo svojich počítačoch používali na generovanie jednorazových kódov pre obchádzanie 2FA.
To by však normálne nebolo možné, pretože na použitie jedného z týchto softvérových tokenov by používateľ musel k svojmu počítaču pripojiť druhé, fyzické zariadenie, ktoré by potom spolu so softvérovým tokenom vygenerovalo platný 2FA kód.
V prípade, že by toto zariadenie chýbalo, by softvér RSA SecureID namiesto toho vygeneroval chybu. Odborníci z Fox IT však tvrdia, že v APT20 pravdepodobne vyvinuli vlastnú techniku na to, ako túto autentifikáciu obísť.
Holandská firma tiež pomenovala svoju správu zaujímavým názvom „Operácia Wocao“, ktorú dostala podľa odpovede skupiny APT20 na prípad, keď boli počas útoku odhalení a vyradení zo siete.
Frustrovaní hackeri totiž aj tak do riadka napísali posledný príkaz „wocao“, čo v čínskom slangu znamená niečo ako „sakra“. Aktivita tejto skupiny však odteraz pravdepodobne neostane bez povšimnutia, a v budúcnosti tak budeme o APT20 ešte určite niečo počuť.
Teraz čítajú
Ďalší veľký problém Facebooku: Opäť sa predávajú telefónne čísla ľudí, nepatria však do nedávneho megaúniku
AKTUALIZOVANÉ Nadchádza sa v úniku dát z Facebooku aj tvoje telefónne číslo? Takto si to jednoducho skontroluješ
Google vylepšuje bezpečnosť Androidu funkciou, ktorá je v iOS už 6 rokov
Bezpečnostná „bomba“ štátneho IT. Kontrola odhalila veľké množstvo problémov v systémoch NCZI
V ohrození môže byť aj Slovensko, varujú experti. Útok hackerov na železnice v Česku dvíha pre nás varovný prst
Články, ktoré hýbu svetom
Testovanie na COVID-19 priamo v smartfóne? Prídu špeciálne senzory na detekciu vírusu
NASA ide utrácať: Na Mesiaci bude obrovský rádioteleskop a takto postavíme budovy pre osídlenie Marsu
Dvaja kamaráti z Brna predstavili čip, ktorý ti zjednoduší život. Stačí si ho nalepiť na mobil
Špinavý label z československých ulíc búra stereotypy. Slováci investovali tisíce, aby vytvorili „porno“ rodinu
