Sponsorowana przez państwo chińska grupa APT20 jest zajęta hakowaniem instytucji rządowych i dostawców usług zarządzanych.
Badacze zajmujący się bezpieczeństwem twierdzą, że znaleźli dowody na to, że powiązana z chińskim rządem grupa hakerska w ostatniej fali ataków omijała uwierzytelnianie dwuskładnikowe (2FA).
Uważa się, że ataki przypisuje się grupie śledzonej przez branżę cyberbezpieczeństwa jako APT20 działają na polecenie rządu w Pekinie, stwierdziła w opublikowanym raporcie holenderska firma zajmująca się bezpieczeństwem cybernetycznym Fox-IT zeszły tydzień.
Głównymi celami grupy były jednostki rządowe i dostawcy usług zarządzanych (MSP). Podmioty rządowe i dostawcy usług MSP prowadzili działalność w takich dziedzinach jak lotnictwo, opieka zdrowotna, finanse, ubezpieczenia, energia, a nawet w czymś tak niszowym jak hazard i zamki fizyczne.
Ostatnia aktywność APT20
Raport Fox-IT ma wypełnić lukę w historii grupy. Włamanie do APT20 sięga roku 2011, ale badacze stracili orientację w działalności grupy w latach 2016–2017, kiedy zmienili sposób działania.
Raport Fox-IT dokumentuje, co grupa robiła przez ostatnie dwa lata i jak to robiła.
Według badaczy hakerzy wykorzystali serwery internetowe jako początkowy punkt wejścia do systemów celu, ze szczególnym naciskiem na JBoss, platformę aplikacji dla przedsiębiorstw, często spotykaną w dużych sieciach korporacyjnych i rządowych.
APT20 wykorzystywał luki w zabezpieczeniach, aby uzyskać dostęp do tych serwerów, zainstalować powłoki internetowe, a następnie rozprzestrzenić się po wewnętrznych systemach ofiary.
W środku Fox-IT powiedział, że grupa porzuciła hasła i szukała kont administratorów, aby zmaksymalizować ich dostęp. Głównym problemem było uzyskanie danych uwierzytelniających VPN, aby hakerzy mogli zwiększyć dostęp do bezpieczniejszych obszarów infrastruktury ofiary lub wykorzystać konta VPN jako bardziej stabilne backdoory.
Fox-IT stwierdziło, że pomimo tego, co wydaje się być niezwykle niezwykłą działalnością hakerską w ciągu ostatnich dwóch lat, „ogólnie rzecz biorąc, aktorowi udało się pozostać niezauważonym”.
Naukowcy wyjaśniają, że zrobili to, korzystając z legalnych narzędzi, które były już zainstalowane na zhakowanych urządzeniach, zamiast pobierać własne, niestandardowe złośliwe oprogramowanie, które mogło zostać wykryte przez lokalne zabezpieczenia oprogramowanie.
Widziano APT20 omijający 2FA
Ale nie to najbardziej wyróżniało się we wszystkich atakach zbadanych przez holenderską firmę ochroniarską. Analitycy Fox-IT stwierdzili, że znaleźli dowody na to, że hakerzy połączyli się z kontami VPN chronionymi przez 2FA.
Jak tego dokonali, pozostaje niejasne; chociaż zespół Fox-IT ma swoją teorię. Powiedzieli, że APT20 ukradł RSA SecurID token oprogramowania ze zhakowanego systemu, który chiński aktor wykorzystał następnie na swoich komputerach do wygenerowania prawidłowych kodów jednorazowych i dowolnego obejścia 2FA.
Normalnie nie byłoby to możliwe. Aby skorzystać z jednego z tych tokenów programowych, użytkownik musiałby podłączyć urządzenie fizyczne (sprzętowe) do swojego komputera. Urządzenie i token oprogramowania wygenerowałyby wówczas prawidłowy kod 2FA. W przypadku braku urządzenia oprogramowanie RSA SecureID wygenerowałoby błąd.
Zespół Fox-IT wyjaśnia, w jaki sposób hakerzy mogli obejść ten problem:
Token programowy jest generowany dla konkretnego systemu, ale oczywiście aktor może łatwo odzyskać tę wartość specyficzną dla systemu, mając dostęp do systemu ofiary.
Jak się okazuje, aktor tak naprawdę nie musi zadawać sobie trudu uzyskania wartości specyficznej dla systemu ofiary, ponieważ konkretna wartość jest sprawdzana tylko podczas importowania źródła tokenu SecurID i nie ma żadnego związku z materiałem źródłowym używanym do generowania rzeczywistego współczynnika dwuczynnikowego żetony. Oznacza to, że aktor może po prostu załatać kontrolę, która weryfikuje, czy zaimportowany token programowy został wygenerowany dla tego systemu i nie musi zawracać sobie głowy kradzieżą wartości specyficznej dla systemu Wszystko.
Krótko mówiąc, wszystko, co aktor musi zrobić, aby skorzystać z kodów uwierzytelniania dwuskładnikowego, to ukraść Token oprogramowania RSA SecurID oraz instrukcję poprawki 1, której efektem jest wygenerowanie ważnego żetony.
Wocao
Fox-IT stwierdziło, że było w stanie zbadać ataki APT20, ponieważ jedna z zaatakowanych firm wezwała tę firmę do pomocy w zbadaniu ataków i zareagowaniu na nie.
Więcej na temat tych ataków można znaleźć w raporcie zatytułowanym „Operacja Wocao."
Holenderska firma podała, że nazwała raport „Wocao” na cześć reakcji chińskich hakerów po ich wykryciu i uruchomieniu z sieci ofiary.
Na poniższym zrzucie ekranu możesz zobaczyć, jak APT20 próbuje połączyć się z (teraz usuniętą) powłoką internetową, którą zainstalował w sieci ofiary.
Hakerzy próbują uruchomić kilka poleceń systemu Windows. Kiedy polecenia nie zostaną wykonane, hakerzy APT20 rozumieją, że zostali wykryci i wyrzuceni z systemu sieci i z frustracją wpisują ostatnie polecenie – wocao, co w chińskim slangu oznacza „gówno” lub "Cholera."
Najbardziej znane i niebezpieczne złośliwe oprogramowanie typu APT (opracowane przez państwo).
Bezpieczeństwo
- 8 nawyków wysoce bezpiecznych pracowników zdalnych
- Jak znaleźć i usunąć oprogramowanie szpiegujące z telefonu
- Najlepsze usługi VPN: jak wypada porównanie 5 najlepszych?
- Jak dowiedzieć się, czy bierzesz udział w naruszeniu bezpieczeństwa danych i co dalej