Čínska hackerská skupina APT20, o ktorej sa predpokladá, že operuje s povolením vlády krajiny, dokázala pri najnovšom útoku obísť dvojfaktorovú autentifikáciu (2FA). Jej primárnymi cieľmi boli vládne subjekty a poskytovatelia IT služieb, píše Gizmodo.

Po zapnutí ihneď začali komunikovať s Ruskom. Britská vláda dala školákom notebooky plné malvéru

Nemá airbag ani ESP: Číňania predávajú v Nemecku ultra-lacný elektromobil, otrasne pohorel v bezpečnostných testoch

Výtržníčka z Washingtonu chcela predať ukradnutý notebook ruským tajným službám. Vyšetruje ju FBI

Cieľom útoku boli subjekty po celom svete

Ako informoval portál ZDNet v pondelok, čínska skupina skúsených hackerov, známa ako APT20, dokázala v najnovšom útoku obísť dvojfaktorovú autentifikáciu (2FA), čo je druhá línia ochrany prihlasovania, ktorá väčšinou prebieha prostredníctvom unikátneho kódu, alebo iného typu sekundárnej autentifikácie.

Hlavnými cieľmi útoku skupiny boli vládne subjekty a poskytovatelia IT služieb v 10 krajinách po celom svete, pričom išlo o oblasti ako letectvo, zdravotníctvo, financie, energetika, alebo hazardné hry.

Tieto informácie prichádzajú od holandskej bezpečnostnej firmy Fox IT, ktorá v svojej správe dokumentuje, čo a ako táto skupina za posledné dva roky robila. Hackeri z APT20 využívali webové servery ako vstupový bod do cieľových systémov, pričom sa zamerali najmä na platformu JBoss, ktorá je prítomná vo veľkých firemných a vládnych sieťach.

Fox IT tiež zdôrazňuje, že aj napriek veľmi pôsobivej hackerskej činnosti, ktorú skupina za posledné 2 roky vykonávala, bola schopná zostať mimo dohľad.

Presný postup skupiny zatiaľ nie je jasný

Napriek tomu, že obchádzanie 2FA nie je vec, o ktorej by sme ešte nepočuli, takýto útok si vyžaduje vysokú úroveň sofistikovanosti. Zatiaľ nie je úplne jasné, ako sa to skupine podarilo, avšak bezpečnostní experti z Fox IT priniesli zaujímavú teóriu.

Podľa nich ukradli hackeri z napadnutého systému dôležitý RSA SecurID token, ktorý potom vo svojich počítačoch používali na generovanie jednorazových kódov pre obchádzanie 2FA.

To by však normálne nebolo možné, pretože na použitie jedného z týchto softvérových tokenov by používateľ musel k svojmu počítaču pripojiť druhé, fyzické zariadenie, ktoré by potom spolu so softvérovým tokenom vygenerovalo platný 2FA kód.

V prípade, že by toto zariadenie chýbalo, by softvér RSA SecureID namiesto toho vygeneroval chybu. Odborníci z Fox IT však tvrdia, že v APT20 pravdepodobne vyvinuli vlastnú techniku na to, ako túto autentifikáciu obísť.

Holandská firma tiež pomenovala svoju správu zaujímavým názvom „Operácia Wocao“, ktorú dostala podľa odpovede skupiny APT20 na prípad, keď boli počas útoku odhalení a vyradení zo siete.

Frustrovaní hackeri totiž aj tak do riadka napísali posledný príkaz „wocao“, čo v čínskom slangu znamená niečo ako „sakra“. Aktivita tejto skupiny však odteraz pravdepodobne neostane bez povšimnutia, a v budúcnosti tak budeme o APT20 ešte určite niečo počuť.