Čínska hackerská skupina APT20, o ktorej sa predpokladá, že operuje s povolením vlády krajiny, dokázala pri najnovšom útoku obísť dvojfaktorovú autentifikáciu (2FA). Jej primárnymi cieľmi boli vládne subjekty a poskytovatelia IT služieb, píše Gizmodo.

Cieľom útoku boli subjekty po celom svete

Ako informoval portál ZDNet v pondelok, čínska skupina skúsených hackerov, známa ako APT20, dokázala v najnovšom útoku obísť dvojfaktorovú autentifikáciu (2FA), čo je druhá línia ochrany prihlasovania, ktorá väčšinou prebieha prostredníctvom unikátneho kódu, alebo iného typu sekundárnej autentifikácie.

Hlavnými cieľmi útoku skupiny boli vládne subjekty a poskytovatelia IT služieb v 10 krajinách po celom svete, pričom išlo o oblasti ako letectvo, zdravotníctvo, financie, energetika, alebo hazardné hry.

Zobraziť celú galériu (2)
Cieľmi útoku skupiny boli vládne subjekty a poskytovatelia IT služieb v 10 krajinách po celom svete, pričom išlo najmä o oblasti ako letectvo, zdravotníctvo, financie, energetika, alebo hazardné hry / Zdroj: Fox IT 

Tieto informácie prichádzajú od holandskej bezpečnostnej firmy Fox IT, ktorá v svojej správe dokumentuje, čo a ako táto skupina za posledné dva roky robila. Hackeri z APT20 využívali webové servery ako vstupový bod do cieľových systémov, pričom sa zamerali najmä na platformu JBoss, ktorá je prítomná vo veľkých firemných a vládnych sieťach.

Fox IT tiež zdôrazňuje, že aj napriek veľmi pôsobivej hackerskej činnosti, ktorú skupina za posledné 2 roky vykonávala, bola schopná zostať mimo dohľad.

Presný postup skupiny zatiaľ nie je jasný

Napriek tomu, že obchádzanie 2FA nie je vec, o ktorej by sme ešte nepočuli, takýto útok si vyžaduje vysokú úroveň sofistikovanosti. Zatiaľ nie je úplne jasné, ako sa to skupine podarilo, avšak bezpečnostní experti z Fox IT priniesli zaujímavú teóriu.

Podľa nich ukradli hackeri z napadnutého systému dôležitý RSA SecurID token, ktorý potom vo svojich počítačoch používali na generovanie jednorazových kódov pre obchádzanie 2FA.

To by však normálne nebolo možné, pretože na použitie jedného z týchto softvérových tokenov by používateľ musel k svojmu počítaču pripojiť druhé, fyzické zariadenie, ktoré by potom spolu so softvérovým tokenom vygenerovalo platný 2FA kód.

V prípade, že by toto zariadenie chýbalo, by softvér RSA SecureID namiesto toho vygeneroval chybu. Odborníci z Fox IT však tvrdia, že v APT20 pravdepodobne vyvinuli vlastnú techniku na to, ako túto autentifikáciu obísť.

Zobraziť celú galériu (2)
Youtube / Duo Security

Holandská firma tiež pomenovala svoju správu zaujímavým názvom „Operácia Wocao“, ktorú dostala podľa odpovede skupiny APT20 na prípad, keď boli počas útoku odhalení a vyradení zo siete.

Frustrovaní hackeri totiž aj tak do riadka napísali posledný príkaz „wocao“, čo v čínskom slangu znamená niečo ako „sakra“. Aktivita tejto skupiny však odteraz pravdepodobne neostane bez povšimnutia, a v budúcnosti tak budeme o APT20 ešte určite niečo počuť.

Prihlasujem do newslettera...

Dostávaj najlepšie informácie zo sveta technológií

Prihlásením sa do newslettera súhlasíte s podmienkami ochrany súkromia.

Cyber