837243bc

Китайские хакеры нашли простой способ взлома системы двухфакторной аутентификации

Китайские хакеры


Компания Fox-IT, работающая в сфере кибербезопасности, опубликовала доклад о деятельности хакерской группировки APT20. По характерному почерку работы ее считают китайской, работающей в связке с властями. Недавно членов APT20 пришлось изгонять с серверов одной корпорации, куда те проникли, обманув систему двухфакторной авторизации (2ФА).


APT20 – организация предельно осторожная и скрытная. Последний раз она давала о себе знать в 2011-ом, и долгое время считалась «потерянной», отошедшей от дел. Вместо этого предприимчивые китайцы, как оказалось, готовили взлом системы двухфакторной аутентификации, чтобы и далее обеспечивать себе комфортное проникновение в чужие сети. Это их профессиональная черта – не внедрять никакого собственного, дополнительного ПО, использовать только типовые решения, чтобы не привлекать внимания.


Относительно взлома 2ФА специалисты сказали следующее. По-видимому, хакерам удалось выкрасть токен RSA SecurID от интересующей их системы, после чего они подделали всего один ключ доступа на его основе. Оказалось, что вовсе не обязательно получать физический доступ к системе или ее уникальную цифровую сигнатуру, чтобы генерировать необходимые коды допуска. Если нет цели импортировать ядро RSA SecurID и делать ключи доступа из разных мест, то проверка ограничивается символьной областью ключа. Той самой, что успешно подделали в APT20.


Это сложно назвать уязвимостью, потому что в ходе расследования специалисты пришли к выводу, что кто-то передал хакерам изначальный токен. Или они сами его украли, но если у вас уже есть частью ключа от замка, взлом становится в разы проще. И это не повод отказываться от такой защиты. Действия APT20 удалось блокировать, о нанесенном хакерами ущербе в корпорации попросили не говорить.

Комментирование и размещение ссылок запрещено.

Комментарии закрыты.