Хакеры из Китая научились обходить двухфакторную авторизацию

Хакеры всего мира непрерывно испытывают системы безопасности фирм, государственных и финансовых организаций, в стремлении добыть нелегальным путем необходимую информацию или похитить средства. Некоторые хакерские группы, такие как APT20 из Китая иногда связывают с официальными властями. Компания Fox-IT распространила доклад «Операция Wocao: пролить свет на одну из скрытых хакерских групп Китая», в котором рассказывает о работе членов организации APT20, недавно обошедших систему двухфакторной авторизации (2ФА) и проникших на сервера одной из крупных корпораций.

Группировка APT20 использует скрытые методы работы, проявляет повышенную осторожность. След организации пропал в 2011 году, и многие специалисты заговорили о прекращении работы APT20. Между тем, по сведениям экспертов Fox-IT, хакеры работали над методикой обхода двухфакторной аутентификации, для обеспечения проникновения на сервера корпоративных сетей. При этом злоумышленники придерживаются принципа использования стандартных решений, не создавая собственного программного обеспечения, по которому их можно отследить.

Преодоление системы двухфакторной авторизации стало возможным после похищений токена RSA SecurID, из необходимой злоумышленникам сети. На основании этого токена хакеры смогли создать всего один ключ, открывавший доступ к системе. Для генерации кода доступа к системе нет необходимости получать физический доступ. Когда нет необходимости импортировать ядро RSA SecurID и создавать ключи доступа из разных мест, проверка ограничивается символьной областью ключа, что и сделали «эксперты» из APT20.

Однако расследование инцидента выявило, что данный метод не является уязвимостью методики 2ФА, так как хакеры получили токен RSA SecurID, либо из рук инсайдера, либо попросту украли, что облегчило им доступ в систему. В настоящее время хакеры изгнаны из сети корпорации, а о нанесенном ущербе не сообщается.

Источник: FoxIT