Главная → НовостиНовостиНовости, 202001Новости, 202001 → Китайские хакеры научились взламывать двухфакторную авторизацию и расстроились, когда им помешали

Китайские хакеры научились взламывать двухфакторную авторизацию и расстроились, когда им помешали

Хакеры кибергруппировки APT20 нашли способ обхода двухфакторной авторизации с помощью кражи программных токенов. С их помощью они проникали в VPN-сети. В какой-то момент их за этим поймали, и невозможность вновь проникнуть в сеть хакеры встретили руганью.

КиТ :: Будь в СЕТИ! KiT - Keep-inTouch :: RSS-лента

Сети :: [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | Статусы

Веб-серверы и VPN

Китайская хакерская группировка нашла новый способ обходить двухфакторную авторизацию. Оказалось, для этого достаточно было модифицировать перехваченный токен безопасности RSA SecurID.

Как пишут исследователи компании Fox-IT Holding B.V., группировка APT20 специализируется на атаках на веб-серверы (преимущественно с установленной системой Jboss), которые затем используются для входа в корпоративные сети. Хакеры устанавливают веб-шеллы и пытаются найти администраторские аккаунты и пароли к ним. Они также пытаются проникнуть в VPN-сети, чтобы получить большее количество конфиденциальной информации.

Что интересно, им удается проникать даже в VPN с защитой двухфакторной аутентификацией. По-видимому, они крадут программные токены RSA SecurID взломанных систем, а затем модифицируют их для работы в других системах.

Китайские хакеры научились обходить используемую во всем мире двухфакторную авторизацию

В Fox-IT полагают, что используемый хакерами инструмент они разработали сами.

Локальная добыча

Из пояснений Fox-IT следует, что злоумышленники крали и использовали токены, которые генерировались не сторонним устройством, а локально на компьютере жертвы.

«При наиболее вероятном сценарии, злоумышленник крал у жертвы программный токен, чтобы сгенерировать коды двухфакторной авторизации на собственной системе. Однако, если злоумышленнику нужно импортировать эти программные токены на другую систему, не на ноутбук жертвы, RSA SecurID выдаст ошибку...», — написали исследователи.

«Программный токен генерируется для каждой конкретной системы, но, естественно, уникальная величина для каждой системы легко добывается, если у злоумышленника есть к ней доступ, — говорится в исследовании. — По-видимому, им даже не нужно специально изыскивать уникальное значение для системы жертвы, поскольку она проверяется только при импорте начального (seed) значения токена SecurID и не имеет никакого отношения к seed-числу, используемому для генерации фактических двухфакторных токенов. Это означает, что злоумышленнику достаточно модифицировать средства проверки того, был ли импортируемый токен сгенерирован именно для этой системы, и тогда не нужно тратить время как перехват уникального значения».

«Данная ситуация показывает, что не все 2FA-инструменты одинаково эффективны, — считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Вряд ли этот прием сработал бы с внешним аппаратным генератором двухфакторных кодов. А так получается, что у хакеров появилась универсальная отмычка для этой реализации 2FA».

Вот же незадача...

Интересно, что одну из атак исследователи Fox-IT остановили буквально в режиме онлайн, выпроводив хакеров из сети атакованной компании и заблокировав веб-шелл, который они установили.

На скриншоте ниже демонстрируется попытка снова подключиться к шеллу.

Реакция хакеров

Последняя команда ("Get /jexinv4/jexinv4.jsp?ppp=wocao HTTP/1.1" 200 7) содержит слово wocao. Судя по всему, это 我操, «Wǒ cāo» — бранное восклицание, означающее «чёрт!» или «вот д...мо!». По всей видимости, хакеры очень расстроились.

Главная → НовостиНовостиНовости, 202001Новости, 202001 → Китайские хакеры научились взламывать двухфакторную авторизацию и расстроились, когда им помешали

Найден способ «разогнать» настольные ПК до производительности суперкомпьютеров

Toshiba создала алгоритм, позволяющий проводить трейдерские расчеты на обычных ПК быстрее, чем это сделали бы квантовые суперкомпьютеры. Алгоритм находится в стадии разработки, Toshiba провела ряд его успешных тестирований, однако эксперты в сфере фи...

Главными ИТ-трендами 2020 года в России станут супераппы и искусственный интеллект

В первую очередь такие продукты появятся у компаний с развитыми экосистемами собственных сервисов, полагают эксперты....

Уволен пресс-секретарь Роскомнадзора, которого обвиняли в мошенничестве

Роскомнадзор сообщил о назначении нового пресс-секретаря — помощника руководителя ведомства по связям с общественностью. Эту позицию заняла Елена Прохорова, которая имеет многолетний опыт работы в пиаре....

Президент РФ предложил дать бесплатный доступ к «социально значимым» сайтам

При этом неясно, как будут компенсироваться расходы операторов....

Власти собрались построить «российский Github» за 2 миллиарда

Министерство экономического развития (Минэкономразвития) России предложило создать отечественное хранилище проектов с открытым кодом, аналог популярного сервиса Github, который принадлежит корпорации Microsoft. На реализацию инициативы планируется на...

[Популярные социальные сети] [*Добавить сайт]

Нравится

Группы: ВК | FB | Tw | G+ | OK

Рубрики | КАТАЛОГ | Новости | Контакты |