Китайские хакеры смогли обойти 2FA

Та самая двухфакторная аутентификация, которую крупные компании предлагают вам подключить для защиты множества ваших личных аккаунтов в приложения, играх, сдалась под натиском хакеров из группы APT20.

Сразу стоит уточнить, что пока атака была направлена на получение данных и информации из корпоративного сегмента: об авиационной сфере, медицине, финансах, страховых и энергетических компаниях из целого ряда стран, таких как - Бразилия, Франция, Германия, Италия, Мексика, Португалия, Испания, Великобритания и США, но никто не мешает другим группам хакеров направить вектор атаки на данные пользователей и в том числе их игровые аккаунты, которые в последнее время очень любят защищать ДФА, раздавая разнообразные плюшки.

Хакерам из APT20 удалось украсть один программный токен RSA SecurID, а затем использовать его для генерации ключей. Эти токены практически бесполезны без сопутствующего оборудования, но хакеры тоже нашли способ обойти это. Злоумышленнику на самом деле не нужно сталкиваться с проблемой получения специфического для жертвы значения системы, поскольку оно проверяется только при импорте SecurID Token Seed и не имеет отношения к сиду, используемому для генерации фактических 2-факторных токенов. Это означает, что субъект может на самом деле просто пропатчить проверку, которая анализирует, сгенерирован ли импортированный программный токен для этой системы.

В результате хакеры из APT20 могут свободно подключаться к VPN-сетям крупных компаний, и использовать веб-серверы, работающие на jboss для дальнейшего проникновения. Интересным фактом является то, что взломщикам после даже не требуется ставить вредоносное программное обеспечение, так как они используют встроенный инструментарий. После похищения необходимой информации, хакеры заметали за собой следы из-за чего их деятельность очень долго оставалась незамеченной.

Такой взлом не говорит о том, что 2FA крайне ненадежна, но создает очень опасный прецедент. Деятельность APT20 была обнаружена голландской компанией Fox-IT, которая на днях представила отчёт.

0
54 комментария
Написать комментарий...
Абыр Валг

Ух бля, учёный изнасиловал журналиста.
И так во-первых гуглим эту новость на английском, находим хотя бы вот это: https://www.zdnet.com/article/chinese-hacker-group-caught-bypassing-2fa/

Не взломали, а обошли.

Разъяснения того что написано во внятной статье по ссылке:

Напоминаю что такое в общем 2FA о котором речь. На основании токена + времени генерируется временный код.

Что было по мнению группы которая разбирала инцидент:
1. Токены хранились на компьютерах, к которым хакеры получили доступ. Хакеры эти токены получили.
2. Программа по идее должна генерировать коды только если есть токен + вставлена уникальная железка.
3. Однако проверка на железку в программе есть только при импорте токена, а не при генерации.
4. Хакеры пропатчили уязвимую часть и смогли генерировать временные коды имея токен.

Выводы:
1. 2FA как работало, так и работает. Просто токены слили.
2. Очень странная реализация 2FA - если уж используется железка, то почему бы не хранить и генерировать токен на ней, вообще без подключения к ПК. Так кроме как физически было бы ничего не украсть.
3. Журналистам-насильникам 10 лет тюрьмы.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Chesheer

Всё как обычно. Журналистика под девизом "то ли он шубу украл, то ли у него спёрли".

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
3 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Ден Лещенко

Dark Army strikes back

Ответить
Развернуть ветку
German Kuznetsov

любая защита обходится, нет ничего защищенного.

Ответить
Развернуть ветку
TeneBrifer

Особенно если в ней хоть где-то фигурирует человеческий фактор

Ответить
Развернуть ветку
4 комментария
Многочисленный космос

Ты не можешь обойти защиту, которой нет.
[Картинка с хитрым нигером]

Ответить
Развернуть ветку
Многочисленный космос
Злоумышленнику на самом деле не нужно сталкиваться с проблемой получения специфического для жертвы значения системы, поскольку оно проверяется только при импорте SecurID Token Seed и не имеет отношения к сиду, используемому для генерации фактических 2-факторных токенов. Это означает, что субъект может на самом деле просто пропатчить проверку, которая анализирует, сгенерирован ли импортированный программный токен для этой системы.

Я не эксперт в кибербезопасности, но звучит так, словно это работает только на нативных приложениях. В системах с нормальной серверной валидацией эта херня, исходя из описания, работать не должна.

Помимо прочего, различные кривые 2FA обходятся давно, и этому "опасному прецеденту" уже пара лет как. Смысл в том, что не все 2FA работают одинаковым образом, и каждая крупная компания, как правило, городит свои велосипеды (та, в которой работаю я - тоже).Что в данной ситуации скорее +, чем -, если компании не пренебрегают пентестами.

Ответить
Развернуть ветку
Vitaliy A.

Честно говоря из статьи вообще ничего не понятно: кто, что и как взломал. Почему кража одного токена позволяет:

В результате хакеры из APT20 могут свободно подключаться к VPN-сетям крупных компаний

Логин и пароль теперь не требуется? А уж тем более если используется сертификат или токен.

Ответить
Развернуть ветку
TeneBrifer
субъект может на самом деле просто пропатчить проверку, которая анализирует, сгенерирован ли импортированный программный токен для этой системы

Не силен в системах безопасности, но, судя по посту, с помощью одного токена они умудрились подключиться к серверу и пропатчить проверку на правильность последующих токенов для аутентификации.
А логин/пароль видимо получают другим путем, не описанным в статье (может базу ломанули, а может отслеживают соединения, хз)

Ответить
Развернуть ветку
3 комментария
Гарант твоей девственности

Ты на приколе?) Ты без логина пароля вообще не дойдешь до этапа проверки 2FA

Ответить
Развернуть ветку
Samoran

Уууу, все сделали, чтобы украсть мой аккаунт близзард.

Ответить
Развернуть ветку
Dark[Ol(U23)leneri] .

Ждём 3FA

Ответить
Развернуть ветку
Shadowlordm

Скан глаза, голоса, запаха.

Ответить
Развернуть ветку
5 комментариев
Архип Обломов

ну вон в китае чтоб занять бабло по интернету, надо сделать видеозвонок и подмигнуть в камеру

Ответить
Развернуть ветку
fsociety

да нет, все в порядке, не переживай

а статья очень странная, не логичная, много бреда и несостыковок

будто ее по частям собрали с разных источников не разбираясь в этом

Ответить
Развернуть ветку
Виталий Майоров

Понятно, что ничего не понятно

Ответить
Развернуть ветку
username
Ответить
Развернуть ветку
Yura Uvarov

Короче если попасть в квартиру через окно, можно открыть дверь изнутри. 

Ответить
Развернуть ветку
Larni

"Китайцы взломали сервер Пентагона.
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был "Мао Цзэдун".
3. На 82 297 347 попытке сервер согласился, что да, у него пароль "Мао Цзэдун". ©

Ответить
Развернуть ветку
Wise V

"Китайские хакеры" - "APT20" - хм.
Это на каком языке буквы?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Post Eve

Латиницей (в коем веке читалка помогла) 

Ответить
Развернуть ветку
0cooper

Но ведь SecurID - это не TOTP, я верно понимаю?

Ответить
Развернуть ветку
Простой Мурод

Да, это проприетарный велосипед от компании RSA. TOTP и  HOTP имеют почти везде свои велосипедные реализации. Концептуально большинство из них опирается на вполне себе надёжные криптопримитивы, но в реальности могут быть уязвимости во вполне конкретных реализациях.

Ответить
Развернуть ветку
wolik

"Хакерам из APT20 удалось украсть"  "хакеры смогли обойти " Автор, ты (хорошо сегодня рождество, буду добрым) не прав.

Ответить
Развернуть ветку
Жибер

Ты из будующего пишешь?

Ответить
Развернуть ветку
1 комментарий
Inquisitor

Речь ведь про "железные" ключи? На Вики про этот взлом написано, ключи поменяли всем

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Курение Убивает
Китайские хакеры

Пфф.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Народный алмаз

Кому я нужен 

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Наивный кран
Ответить
Развернуть ветку
Любовный блик

Чуете чем пахнет близордоненавистники????))

Ответить
Развернуть ветку
Читать все 54 комментария
null