Поделиться
Китайские хакеры научились взламывать двухфакторную авторизацию и расстроились, когда им помешали
Хакеры кибергруппировки APT20 нашли способ обхода двухфакторной авторизации с помощью кражи программных токенов. С их помощью они проникали в VPN-сети. В какой-то момент их за этим поймали, и невозможность вновь проникнуть в сеть хакеры встретили руганью.
Веб-серверы и VPN
Китайская хакерская группировка нашла новый способ обходить двухфакторную авторизацию. Оказалось, для этого достаточно было модифицировать перехваченный токен безопасности RSA SecurID.
Как пишут исследователи компании Fox-IT Holding B.V., группировка APT20 специализируется на атаках на веб-серверы (преимущественно с установленной системой Jboss), которые затем используются для входа в корпоративные сети. Хакеры устанавливают веб-шеллы и пытаются найти администраторские аккаунты и пароли к ним. Они также пытаются проникнуть в VPN-сети, чтобы получить большее количество конфиденциальной информации.
Что интересно, им удается проникать даже в VPN с защитой двухфакторной аутентификацией. По-видимому, они крадут программные токены RSA SecurID взломанных систем, а затем модифицируют их для работы в других системах.
В Fox-IT полагают, что используемый хакерами инструмент они разработали сами.
Локальная добыча
Из пояснений Fox-IT следует, что злоумышленники крали и использовали токены, которые генерировались не сторонним устройством, а локально на компьютере жертвы.
«При наиболее вероятном сценарии, злоумышленник крал у жертвы программный токен, чтобы сгенерировать коды двухфакторной авторизации на собственной системе. Однако, если злоумышленнику нужно импортировать эти программные токены на другую систему, не на ноутбук жертвы, RSA SecurID выдаст ошибку...», — написали исследователи.
«Программный токен генерируется для каждой конкретной системы, но, естественно, уникальная величина для каждой системы легко добывается, если у злоумышленника есть к ней доступ, — говорится в исследовании. — По-видимому, им даже не нужно специально изыскивать уникальное значение для системы жертвы, поскольку она проверяется только при импорте начального (seed) значения токена SecurID и не имеет никакого отношения к seed-числу, используемому для генерации фактических двухфакторных токенов. Это означает, что злоумышленнику достаточно модифицировать средства проверки того, был ли импортируемый токен сгенерирован именно для этой системы, и тогда не нужно тратить время как перехват уникального значения».
«Данная ситуация показывает, что не все 2FA-инструменты одинаково эффективны, — считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — Вряд ли этот прием сработал бы с внешним аппаратным генератором двухфакторных кодов. А так получается, что у хакеров появилась универсальная отмычка для этой реализации 2FA».
Вот же незадача...
Интересно, что одну из атак исследователи Fox-IT остановили буквально в режиме онлайн, выпроводив хакеров из сети атакованной компании и заблокировав веб-шелл, который они установили.
На скриншоте ниже демонстрируется попытка снова подключиться к шеллу.
Последняя команда ("Get /jexinv4/jexinv4.jsp?ppp=wocao HTTP/1.1" 200 7) содержит слово wocao. Судя по всему, это 我操, «Wǒ cāo» — бранное восклицание, означающее «чёрт!» или «вот д...мо!». По всей видимости, хакеры очень расстроились.
Поделиться
Короткая ссылка
