Kinesisk APT-gruppe set forbi 2FA

Kinesisk APT-gruppe set forbi 2FA



I en nylig rapport har sikkerhedsforskere fundet beviser for, at en kinesisk statsstøttet hackinggruppe, APT20, har været i stand til at omgå tofaktorautentificering (2FA) i en nylig kampagne. Avanceret vedvarende trussel ( APT ) grupper defineres typisk som grupper, oftere end ikke statsstøttede, der får adgang til et specifikt netværk og er i stand til at operere i lange perioder før opdagelsen. APT20, eller Wocao, er sådan en gruppe og syntes indtil for nylig at have været på pause med ikke meget kendt af deres operationer i perioder, der spænder over 2016 og 2017.

I rapport udgivet af Fox-IT, blev det vist, at gruppens primære mål var offentlige enheder og administrerede tjenesteudbydere (MSP'er). Regeringsenhederne og MSP'erne var aktive inden for områder som luftfart, sundhedspleje, finans, forsikring, energi og endda noget så niche som spil og fysiske låse. Som nævnt ovenfor syntes sikkerhedsforskere at miste styr på APT20-aktiviteten i perioden fra 2016 til 2017. Jeg er sikker på, at nogle håbede, at de var væk for godt, men i betragtning af den aktuelle forskning ændrede gruppen sin taktik ret betydeligt. Baseret på disse nye oplysninger ser det ud til, at gruppen har været aktiv de sidste to år.





Ny taktik, der anvendes af gruppen, synes oprindeligt at målrette webservere som det første indgangssted. Gruppen ser yderligere ud til at fokusere på kørende virksomhedsnetværk JBoss , som er en virksomhedsplatform, der ofte findes på virksomheds- og regeringsnetværk. For at få adgang til webserverne brugte gruppen en række sårbarheder, derefter blev der oprettet webskaller, og til sidst ville gruppen se at sprede sig tværs over netværket. Når netværket var kompromitteret, dumpede gruppen adgangskoder og ledte efter administratorkonti for at maksimere deres adgang. En primær bekymring var at få VPN-legitimationsoplysninger, så hackere kunne eskalere adgang til mere sikre områder af et offers infrastruktur eller bruge VPN-konti som mere stabile bagdøre. Alt dette blev gjort, mens det lykkedes at flyve under radaren i lang tid.

kinesisk apt gruppe, der omgår 2fa



Gruppens stealth kan tilskrives brugen af ​​legitime værktøjer, der ikke markerer mistanke fra sikkerhedssoftware installeret på netværket. Hvis de havde installeret skræddersyet malware, ville deres chancer for at blive fanget have været betydeligt højere. Dette er en taktik, der anvendes af mange andre APT-grupper over hele kloden. Hvad der vakte forskernes interesse er, at det så ud til, at gruppen formåede at omgå 2FA-beskyttelse knyttet til ofrenes VPN-konti. Hvordan dette nøjagtigt er gjort vides endnu ikke, men forskere fandt relaterede beviser for, hvordan regnskaberne kunne være kompromitteret.

Omgå 2FA

Fra forskernes analyse ser det ud til, at APT20 stjal et RSA SecurID-softwaretoken fra et hacket system, som den kinesiske skuespiller derefter brugte på sine computere til at generere gyldige engangskoder og omgå 2FA efter ønske. Software tokens er en form for tofaktorautentificering, der er gemt på enheder såsom en stationær eller bærbar pc, som undertiden bruges tillader adgang til pc'en eller tjenesterne. Disse koder kan duplikeres og er tidligere blevet eksponeret af hackere i tidligere angreb. Hardware-tokens anses for mere sikre, da tokens er gemt på hardwarestykket og ikke kan duplikeres. Normalt skal softwaretokens i mange tilfælde imidlertid forbindes til et fysisk stykke hardware. Enheden og softwaretoken genererer derefter en gyldig 2FA-kode. Hvis enheden manglede, ville RSA SecureID-softwaren generere en fejl.

Forskerne forklarede, hvordan gruppen muligvis har været i stand til at omgå 2FA, idet de siger, at:

hindbær pi zero specifikationer

“Softwaretokenet genereres til et specifikt system, men selvfølgelig kunne denne systemspecifikke værdi let hentes af skuespilleren, når han har adgang til offerets system ... Som det viser sig, behøver skuespilleren faktisk ikke at gå igennem besværet med at opnå offerets systemspecifikke værdi, fordi denne specifikke værdi kun kontrolleres ved import af SecurID Token Seed og ikke har nogen relation til det frø, der bruges til at generere faktiske 2-faktor tokens. Dette betyder, at skuespilleren faktisk kan simpelt hen patch den kontrol, der verificerer, om det importerede soft token blev genereret til dette system og slet ikke behøver at gider med at stjæle den systemspecifikke værdi ... Kort sagt, alt det, skuespilleren skal gøre for at gøre brug af 2-faktor-godkendelseskoder er at stjæle et RSA SecurID-softwaretoken og at patch 1-instruktion, hvilket resulterer i generering af gyldige tokens. ”

Den fare, som APT-grupper udgør, vises generelt tydeligt med APT20, og selv når taktikken ændres, ser de stadig ud til at være i stand til at omskrive reglerne om ubrudt indbrud i netværk. Tidligere steg APT20 til offentlighedens opmærksomhed efter en række angreb der tilsyneladende begyndte i 2011. I dette tilfælde målrettede gruppen sig mod virksomheder i den kemiske sektor. Disse angreb blev yderligere præget af brugen af ​​en trojan som hedder Efeu . Disse angreb blev anset for at være motiveret af at vinde konkurrencemæssige fordele i forhold til konkurrencen med hensyn til den kemiske sektor. I betragtning af listen over adskillige økonomiske sektorer, der er målrettet mod APT20, er det sikkert at antage, at dette stadig kan være tilfældet. Symantec konkluderede i 2011, at disse angreb primært fokuserede på den kemiske sektor med det formål at opnå følsomme dokumenter såsom proprietære designs, formler og fremstillingsprocesser. Mens taktikken er ændret, ser det ud til, at det overordnede mål ikke har gjort det.

Interessante Artikler

Undgå at blive snydt via din enhed blev inficeret med min private malware

Undgå at blive snydt via din enhed blev inficeret med min private malware

Sådan fjernes din enhed blev inficeret med min private e-mail-fidus med malware - guide til fjernelse af virus (opdateret)

Driver Updater uønsket applikation

Driver Updater uønsket applikation

Sådan afinstalleres Driver Updater Unwanted Application - instruktioner til fjernelse af virus (opdateret)

Pro PC Cleaner Uønsket applikation

Pro PC Cleaner Uønsket applikation

Sådan afinstalleres Pro PC Cleaner Unwanted Application - fjernelsesvejledning (opdateret)

Annoncer fra Stack Player

Annoncer fra Stack Player

Sådan afinstalleres Ads by Stack Player - instruktioner til fjernelse af virus (opdateret)

Forskellen mellem apt og apt-get Forklaret

Forskellen mellem apt og apt-get Forklaret

Forklarer, hvordan apt-kommandoen ligner, men alligevel er forskellig fra apt-get, og hvorfor du skal bruge apt i stedet for apt-get.

11 Bedste open source regnskabssoftware

11 Bedste open source regnskabssoftware

Leder du efter en gratis og open source regnskabssoftware? Her er nogle, som du kan bruge online, offline eller hoste på din egen server til personlig eller forretningsmæssig brug.

Search.hearthandsatellitemaps.com omdirigering

Search.hearthandsatellitemaps.com omdirigering

Sådan slettes Search.hearthandsatellitemaps.com Redirect - guide til fjernelse af virus (opdateret)

Din Mac skal opdateres for at forbedre POP-UP Virus (Mac) kompatibilitet

Din Mac skal opdateres for at forbedre POP-UP Virus (Mac) kompatibilitet

Sådan slipper du af din Mac skal opdateres for at forbedre kompatibiliteten POP-UP Virus (Mac) - guide til fjernelse af virus (opdateret)

Hvordan afinstalleres ransomware kaldet Hello (WickrMe)?

Hvordan afinstalleres ransomware kaldet Hello (WickrMe)?

Sådan fjernes Hello (WickrMe) Ransomware - trin til fjernelse af virus

Linux Mint 20 nye funktioner og andre vigtige ting, der er forbundet med det

Linux Mint 20 nye funktioner og andre vigtige ting, der er forbundet med det

Se alle de nye funktioner i Linux Mint 20 -udgivelsen med skærmbilleder og videoer i denne artikel.


Kategorier