Китайские хакеры смогли обойти 2FA

Замок на фоне сетей

Та самая двухфакторная аутентификация, которую крупные компании предлагают вам подключить для защиты аккаунтов в приложения, играх, сдалась под  натиском APT20.

Сразу стоит уточнить, что пока атака была направлена на получение данных и информации об авиационной сфере, медицине, финансах, страховых и энергетических компаниях из Бразилии,  Франции, Германии, Италии, Мексики, Португалии, Испании, Великобритании и США, но никто не мешает другим группам хакеров направить вектор атаки на данные пользователей и их игровые аккаунты.

Хакерам из APT20 удалось украсть один программный токен RSA SecurID, а затем использовать его для генерации ключей. Эти токены практически бесполезны без сопутствующего оборудования, но хакеры тоже нашли способ обойти это. Злоумышленнику на самом деле не нужно сталкиваться с проблемой получения специфического для жертвы значения системы, поскольку оно проверяется только при импорте SecurID Token Seed и не имеет отношения к сиду, используемому для генерации фактических 2-факторных токенов. Это означает, что субъект может на самом деле просто пропатчить проверку, которая проверяет, сгенерирован ли импортированный программный токен для этой системы.

Токен RSA

В результате хакеры из APT20 могут свободно подключаться к VPN-сетям крупных компаний, и использовать веб-серверы, работающие на jboss для дальнейшего проникновения. Интересным фактом является то, что взломщикам после даже не требуется ставить вредоносное программное обеспечение, так как они используют встроенный инструментарий. После похищения необходимой информации, хакеры заметали за собой следы из-за чего их деятельность очень долго оставалась незамеченной.

Такой взлом не говорит о том, что 2FA крайне ненадежна, но создает очень опасный прецедент.

Следите за нами в сети:

Поделиться записью
Комментарии 0

Комментарии