Chiny. Rządowi hakerzy obeszli weryfikację dwuetapową VPN w Europie i USA

Hakerzy z chińskiej grupy APT20 przeprowadzili ataki w nawet 10 krajach w Europie i obydwu Amerykach. Udało im się obejść weryfikację dwuetapową i najpewniej są na usługach rządu, czytamy w raporcie NCC Group.

Celami były instytucje rządowe i dostawcy usług dla MŚP. To podmioty z takich dziedzin jak chociażby lotnictwo, energetyka, ochrona zdrowia, transport, finanse czy tworzenie oprogramowania. Jak widać, chodziło o kluczowe dla gospodarki segmenty.

Poza rodzimymi Chinami, napastnicy uderzali m.in. w Europie Zachodniej, USA, Meksyku i Brazylii. Jak podaje ZDNet, specjaliści z różnych miejsc już wcześniej przyglądali się APT20 posądzanym o współpracę z rządem Chin. Jednak w latach 2016 i 2017 grupa zmieniła metody działania i trop się urwał. W końcu Holendrzy z NCC Group znaleźli ślad hakerów, a ich raport jest opracowaniem chińskich działań w ostatnich dwóch latach.

Według autorów dokumentu nazwanego Operacja Wocao, jako wektor ataku zostały wykorzystane serwery sieciowe, a konkretnej luki odnalezione w platformie JBoss, która to bywa bardzo chętnie implementowana w korporacjach i urzędach. Podatności pozwalały przejmować konta administratorów.

Co kluczowe, w trakcie ataków uzyskiwano też dostęp do kont VPN, więc zastosowanie firmowej adresacji IP do ochrony nie przyniosło pożądanego skutku.

Jedyną większą niewiadomą jest to, jak Chińczycy korzystali nawet z VPN w przypadku dwuetapowej weryfikacji. Normalnie w takich przypadkach niezbędne jest jeszcze podłączone specjalne urządzenie. Inaczej uwierzytelnianie kończy się fiaskiem.

Według NCC Group, hakerzy nie musieli wcale wykradać całej paczki informacji związanych z uwierzytelnianiem SecurID na danych maszynach, w tym unikalnego klucza systemu. Holendrzy zaproponowali inne rozwiązanie, choć nie mogli zweryfikować, czy jest trafne. Wiedząc, jak przebiega proces generowania tokenów, hakerzy mogli oszukać mechanizm sprawdzający, czy programowy token został wygenerowany dla konkretnego systemu.

Po wykradzeniu tokenów RSA SecurID i zmanipulowaniu tylko jednej instrukcji, można wygenerować prawidłowe tokeny uwierzytelniające. Klucz sprzętowy jest weryfikowany tylko przy importowaniu ziarna tokenów SecurID, więc później nie jest tak istotny.

Najpewniej zespół znajdzie jeszcze więcej informacji na temat działań grupy APT20 i rozwiąże zagadkę obejścia dwuetapowych tokenów. Holendrzy zostali wynajęci przez jedną z poszkodowanych firm do pomocy przy zbadaniu jej przypadku uzyskania bezprawnego dostępu przez hakerów z Państwa Środka.