Китайские хакеры научились взламывать двухфакторную авторизацию и расстроились, когда им помешали

3148

, Текст: Роман Георгиев

Хакеры кибергруппировки APT20 нашлиспособ обхода двухфакторной авторизации с помощью кражи программных токенов. Сих помощью они проникали в VPN-сети. Вкакой-то момент их за этим поймали, и невозможность вновь проникнуть в сетьхакеры встретили руганью.

Веб-серверы и VPN

Китайская хакерскаягруппировка нашла новый способ обходить двухфакторную авторизацию. Оказалось,для этого достаточно было модифицировать перехваченный токен безопасности RSA SecurID.

Как пишут исследователикомпании Fox-IT Holding B.V., группировка APT20 специализируется на атаках на веб-серверы(преимущественно с установленной системой Jboss), которые затем используются для входа вкорпоративные сети. Хакеры устанавливают веб-шеллы и пытаются найтиадминистраторские аккаунты и пароли к ним. Они также пытаются проникнуть в VPN-сети, чтобы получитьбольшее количество конфиденциальной информации.

Что интересно, им удаетсяпроникать даже в VPN с защитой двухфакторной аутентификацией. По-видимому, они крадутпрограммные токены RSA SecurID взломанных систем, а затем модифицируют их дляработы в других системах.

haker600.jpg

Китайские хакеры научились обходить используемую во всем мире двухфакторную авторизацию

В Fox-IT полагают, что используемый хакерами инструментони разработали сами.

Локальная добыча

Из пояснений Fox-IT следует, что злоумышленники крали и использовалитокены, которые генерировались не сторонним устройством, а локально накомпьютере жертвы.

«При наиболее вероятномсценарии, злоумышленник крал у жертвы программный токен, чтобы сгенерироватькоды двухфакторной авторизации на собственной системе. Однако, еслизлоумышленнику нужно импортировать эти программные токены на другую систему, нена ноутбук жертвы, RSA SecurID выдаст ошибку...», — написали исследователи.

«Программный токенгенерируется для каждой конкретной системы, но, естественно, уникальнаявеличина для каждой системы легко добывается, если у злоумышленника есть к нейдоступ, — говорится в исследовании. — По-видимому, им даже не нужно специальноизыскивать уникальное значение для системы жертвы, поскольку она проверяетсятолько при импорте начального (seed) значения токена SecurID и не имеет никакого отношения к seed-числу, используемому длягенерации фактических двухфакторных токенов. Это означает, что злоумышленникудостаточно модифицировать средства проверки того, был ли импортируемый токенсгенерирован именно для этой системы, и тогда не нужно тратить время какперехват уникального значения».

«Данная ситуация показывает,что не все 2FA-инструментыодинаково эффективны, — считает АлексейВодясов, эксперт по информационной безопасности компании SEC Consult Services. — Вряд ли этот приемсработал бы с внешним аппаратным генератором двухфакторных кодов. А такполучается, что у хакеров появилась универсальная отмычка для этой реализации 2FA».

Вот же незадача...

Интересно, что одну из атакисследователи Fox-ITостановили буквально в режиме онлайн, выпроводив хакеров из сети атакованнойкомпании и заблокировав веб-шелл, который они установили.

На скриншоте нижедемонстрируется попытка снова подключиться к шеллу.

skrin565.jpg

Реакция хакеров

Последняякоманда ("Get /jexinv4/jexinv4.jsp?ppp=wocao HTTP/1.1" 200 7)содержит слово wocao. Судя по всему, это 我操, «Wǒ cāo» — бранноевосклицание, означающее «чёрт!» или «вот д...мо!». По всей видимости, хакеры очень расстроились.


СЛЕДУЮЩИЙ МАТЕРИАЛ РАЗДЕЛА "IT"