`

Schneider Electric - Узнайте все про энергоэффективность ЦОД


СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Китайские хакеры нашли новый способ обхода 2-факторной аутентификации

+44
голоса

Китайские хакеры нашли новый способ обхода 2-факторный аутентификации

Команда специалистов в области информационной безопасности из Fox-IT Holding подготовила отчёт, содержащий результаты двухлетнего анализа деятельности (инструментов, методов и процедур) китайской группы киберпреступников под условным наименованием APT20.

Злоумышленники атакуют веб-серверы, используя для этого легальные каналы, такие как VPN. Внутри защищённой сети они ищут рабочие станции сотрудников с правами администратора, извлекая оттуда содержимое хранилищ менеджеров паролей. Полученные пароли применяются для эксфильтрации дальнейшей информации, сохранения контроля над захваченными системами, саботажа и взлома других компьютеров.

По мере возможности, APT20 старается удалить из файловой системы скомпрометированной машины все следы своей деятельности, чтобы затруднить последующее расследование и избежать обнаружения.

Наибольший интерес представляют найденные исследователями свидетельства того, что APT20 может проникать в виртуальные сети, защищённые с помощью двухфакторной аутентификации (2FA). Ранее уже демонстрировались довольно сложные методы преодоления такой защиты, но Fox-IT утверждает, что китайские хакеры нашли новый путь обхода 2FA. Для этого они используют программные токены RSA SecurID, полученные из взломанной машины, модифицируя ключ так, чтобы он мог работать на других системах.

«Программный токен создается для конкретной системы, но, разумеется, специфическое для неё значение может быть легко получено хакером при наличии доступа к системе жертвы, — пояснили исследователи Fox-IT. — Как выяснилось, системно-специфическое значение проверяется только при импорте SecurID Token Seed и не имеет отношения к начальному вектору (seed), используемому для генерации 2-факторных токенов. Это означает, что взломщику не нужно красть системно-специфическое значение: он может просто пропатчить процедуру, которая проверяет, сгенерирован ли импортированный программный токен для этой системы».

Эксперты полагают, что APT20 занимается кибершпионажем в интересах китайского правительства. Среди её жертв идентифицированы государственные организации и провайдеры управляемых сервисов в 10 странах, относящиеся к различным отраслям, включая энергетику, здравоохранение и высокие технологии.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

+44
голоса

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT