Китайские хакеры смогли обойти 2FA

Та самая двухфакторная аутентификация, которую крупные компании предлагают вам подключить для защиты множества ваших личных аккаунтов в приложения, играх, сдалась под натиском хакеров из группы APT20.

Сразу стоит уточнить, что пока атака была направлена на получение данных и информации из корпоративного сегмента: об авиационной сфере, медицине, финансах, страховых и энергетических компаниях из целого ряда стран, таких как - Бразилия, Франция, Германия, Италия, Мексика, Португалия, Испания, Великобритания и США, но никто не мешает другим группам хакеров направить вектор атаки на данные пользователей и в том числе их игровые аккаунты, которые в последнее время очень любят защищать ДФА, раздавая разнообразные плюшки.

Хакерам из APT20 удалось украсть один программный токен RSA SecurID, а затем использовать его для генерации ключей. Эти токены практически бесполезны без сопутствующего оборудования, но хакеры тоже нашли способ обойти это. Злоумышленнику на самом деле не нужно сталкиваться с проблемой получения специфического для жертвы значения системы, поскольку оно проверяется только при импорте SecurID Token Seed и не имеет отношения к сиду, используемому для генерации фактических 2-факторных токенов. Это означает, что субъект может на самом деле просто пропатчить проверку, которая анализирует, сгенерирован ли импортированный программный токен для этой системы.

В результате хакеры из APT20 могут свободно подключаться к VPN-сетям крупных компаний, и использовать веб-серверы, работающие на jboss для дальнейшего проникновения. Интересным фактом является то, что взломщикам после даже не требуется ставить вредоносное программное обеспечение, так как они используют встроенный инструментарий. После похищения необходимой информации, хакеры заметали за собой следы из-за чего их деятельность очень долго оставалась незамеченной.

Такой взлом не говорит о том, что 2FA крайне ненадежна, но создает очень опасный прецедент. Деятельность APT20 была обнаружена голландской компанией Fox-IT, которая на днях представила отчёт.

54 комментария

Ух бля, учёный изнасиловал журналиста.
И так во-первых гуглим эту новость на английском, находим хотя бы вот это: https://www.zdnet.com/article/chinese-hacker-group-caught-bypassing-2fa/

Не взломали, а обошли.

Разъяснения того что написано во внятной статье по ссылке:

Напоминаю что такое в общем 2FA о котором речь. На основании токена + времени генерируется временный код.

Что было по мнению группы которая разбирала инцидент:
1. Токены хранились на компьютерах, к которым хакеры получили доступ. Хакеры эти токены получили.
2. Программа по идее должна генерировать коды только если есть токен + вставлена уникальная железка.
3. Однако проверка на железку в программе есть только при импорте токена, а не при генерации.
4. Хакеры пропатчили уязвимую часть и смогли генерировать временные коды имея токен.

Выводы:
1. 2FA как работало, так и работает. Просто токены слили.
2. Очень странная реализация 2FA - если уж используется железка, то почему бы не хранить и генерировать токен на ней, вообще без подключения к ПК. Так кроме как физически было бы ничего не украсть.
3. Журналистам-насильникам 10 лет тюрьмы.