{"id":2567,"title":"\u041f\u0440\u0435\u0437\u0435\u043d\u0442\u0430\u0446\u0438\u044f Acer: \u043d\u043e\u0443\u0442\u0431\u0443\u043a\u0438, \u043c\u043e\u043d\u0438\u0442\u043e\u0440\u044b, \u043f\u0440\u043e\u0435\u043a\u0442\u043e\u0440\u044b... \u0434\u043e\u0436\u0434\u0435\u0432\u0438\u043a","url":"\/redirect?component=advertising&id=2567&url=https:\/\/vc.ru\/acer_russia\/317785-next-2021&placeBit=1&hash=a6b26590b22c52d427a370f69825609122f6156e016037e8049771ca0bfc8ad2","isPaidAndBannersEnabled":false}
Индустрия
Александр

Китайские хакеры смогли обойти 2FA

Та самая двухфакторная аутентификация, которую крупные компании предлагают вам подключить для защиты множества ваших личных аккаунтов в приложения, играх, сдалась под натиском хакеров из группы APT20.

Сразу стоит уточнить, что пока атака была направлена на получение данных и информации из корпоративного сегмента: об авиационной сфере, медицине, финансах, страховых и энергетических компаниях из целого ряда стран, таких как - Бразилия, Франция, Германия, Италия, Мексика, Португалия, Испания, Великобритания и США, но никто не мешает другим группам хакеров направить вектор атаки на данные пользователей и в том числе их игровые аккаунты, которые в последнее время очень любят защищать ДФА, раздавая разнообразные плюшки.

Хакерам из APT20 удалось украсть один программный токен RSA SecurID, а затем использовать его для генерации ключей. Эти токены практически бесполезны без сопутствующего оборудования, но хакеры тоже нашли способ обойти это. Злоумышленнику на самом деле не нужно сталкиваться с проблемой получения специфического для жертвы значения системы, поскольку оно проверяется только при импорте SecurID Token Seed и не имеет отношения к сиду, используемому для генерации фактических 2-факторных токенов. Это означает, что субъект может на самом деле просто пропатчить проверку, которая анализирует, сгенерирован ли импортированный программный токен для этой системы.

В результате хакеры из APT20 могут свободно подключаться к VPN-сетям крупных компаний, и использовать веб-серверы, работающие на jboss для дальнейшего проникновения. Интересным фактом является то, что взломщикам после даже не требуется ставить вредоносное программное обеспечение, так как они используют встроенный инструментарий. После похищения необходимой информации, хакеры заметали за собой следы из-за чего их деятельность очень долго оставалась незамеченной.

Такой взлом не говорит о том, что 2FA крайне ненадежна, но создает очень опасный прецедент. Деятельность APT20 была обнаружена голландской компанией Fox-IT, которая на днях представила отчёт.

0
54 комментария
Популярные
По порядку
Написать комментарий...

Ух бля, учёный изнасиловал журналиста.
И так во-первых гуглим эту новость на английском, находим хотя бы вот это: https://www.zdnet.com/article/chinese-hacker-group-caught-bypassing-2fa/

Не взломали, а обошли.

Разъяснения того что написано во внятной статье по ссылке:

Напоминаю что такое в общем 2FA о котором речь. На основании токена + времени генерируется временный код.

Что было по мнению группы которая разбирала инцидент:
1. Токены хранились на компьютерах, к которым хакеры получили доступ. Хакеры эти токены получили.
2. Программа по идее должна генерировать коды только если есть токен + вставлена уникальная железка.
3. Однако проверка на железку в программе есть только при импорте токена, а не при генерации.
4. Хакеры пропатчили уязвимую часть и смогли генерировать временные коды имея токен.

Выводы:
1. 2FA как работало, так и работает. Просто токены слили.
2. Очень странная реализация 2FA - если уж используется железка, то почему бы не хранить и генерировать токен на ней, вообще без подключения к ПК. Так кроме как физически было бы ничего не украсть.
3. Журналистам-насильникам 10 лет тюрьмы. ред.

228

Спасибо за разъяснения, а то я вчитывался в этот бред, пытаясь его понять. А оказалось, это просто бред.

53

Всё как обычно. Журналистика под девизом "то ли он шубу украл, то ли у него спёрли".

6

Про то, что это косяк конкретной реализации - надо было отдельно вынести.

@Александр, нахер ты постишь, если даже не попытался разобратся? Какого черта это делает в индустрии игр?

2

@Сломалось почему автора не пингануть? Только с фамилией результаты. Ник я скопировал. При ответе самому себе скопировался текст моего предыдущего сообщения, не воспроизводится :D ред.

3

Есть такие юзеры, которые используют распространенные ники. В таком случае используйте id юзера. @Александр 

1

Ссылку попробовать догадался, id - нет :)

0

Комментарий удален по просьбе пользователя

0

Dark Army strikes back

24

любая защита обходится, нет ничего защищенного.

20

Особенно если в ней хоть где-то фигурирует человеческий фактор

10

Т.е. в абсолютно любой.

5
Террористический месяц

пока да

0

Долой тупые мешки мяса. Вся власть роботам!

3
Террористический месяц

ну вот поэтому и сыкотно пока.

1
Террористический месяц

Ты не можешь обойти защиту, которой нет.
[Картинка с хитрым нигером]

2
Террористический месяц

Злоумышленнику на самом деле не нужно сталкиваться с проблемой получения специфического для жертвы значения системы, поскольку оно проверяется только при импорте SecurID Token Seed и не имеет отношения к сиду, используемому для генерации фактических 2-факторных токенов. Это означает, что субъект может на самом деле просто пропатчить проверку, которая анализирует, сгенерирован ли импортированный программный токен для этой системы.

Я не эксперт в кибербезопасности, но звучит так, словно это работает только на нативных приложениях. В системах с нормальной серверной валидацией эта херня, исходя из описания, работать не должна.

Помимо прочего, различные кривые 2FA обходятся давно, и этому "опасному прецеденту" уже пара лет как. Смысл в том, что не все 2FA работают одинаковым образом, и каждая крупная компания, как правило, городит свои велосипеды (та, в которой работаю я - тоже).Что в данной ситуации скорее +, чем -, если компании не пренебрегают пентестами. ред.

19

Честно говоря из статьи вообще ничего не понятно: кто, что и как взломал. Почему кража одного токена позволяет:
В результате хакеры из APT20 могут свободно подключаться к VPN-сетям крупных компаний

Логин и пароль теперь не требуется? А уж тем более если используется сертификат или токен.

6

субъект может на самом деле просто пропатчить проверку, которая анализирует, сгенерирован ли импортированный программный токен для этой системы

Не силен в системах безопасности, но, судя по посту, с помощью одного токена они умудрились подключиться к серверу и пропатчить проверку на правильность последующих токенов для аутентификации.
А логин/пароль видимо получают другим путем, не описанным в статье (может базу ломанули, а может отслеживают соединения, хз)

2

Один токен - одна компания/сервер. Для каждой другой компании - другой токен.

Токен действителен десяток секунд. Сервер никто патчить тебе не даст, тебя или пустит с правами того, у кого ты своровал токен или пошлет в зад.

Статья - гуманитарная лапша.

8
Террористический месяц

Правильно ли я понимаю, что всё же возможно украсть токен пользователя, у которого будет достаточно прав чтобы пропатчить сервер? 

1

Ну у какой-то одной-второй конкретной компании с низким уровнем безопасности, крайне теоретически да. Но вам надо успеть им воспользоваться в течении нескольких десятков секунд после кражи

2

Ты на приколе?) Ты без логина пароля вообще не дойдешь до этапа проверки 2FA

–1

Уууу, все сделали, чтобы украсть мой аккаунт близзард.

7

Ждём 3FA

6

Скан глаза, голоса, запаха.

2

Бля, это чё теперь не мыться и не срывать голос?

4

И глаза не выкалывать. А то мало ли что в голову взбредёт.

7

Не быть мне Коломбо

4

Главное что бы злоумышленики не научились подменять результаты проверки всего этого на true

–1

ну вон в китае чтоб занять бабло по интернету, надо сделать видеозвонок и подмигнуть в камеру

0

да нет, все в порядке, не переживай

а статья очень странная, не логичная, много бреда и несостыковок

будто ее по частям собрали с разных источников не разбираясь в этом

0

Понятно, что ничего не понятно

5

ред.

4

Короче если попасть в квартиру через окно, можно открыть дверь изнутри. 

4

"Китайцы взломали сервер Пентагона.
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был "Мао Цзэдун".
3. На 82 297 347 попытке сервер согласился, что да, у него пароль "Мао Цзэдун". ©

3

"Китайские хакеры" - "APT20" - хм.
Это на каком языке буквы?

2

Комментарий удален по просьбе пользователя

0

Латиницей (в коем веке читалка помогла) 

0

Но ведь SecurID - это не TOTP, я верно понимаю?

1

Да, это проприетарный велосипед от компании RSA. TOTP и  HOTP имеют почти везде свои велосипедные реализации. Концептуально большинство из них опирается на вполне себе надёжные криптопримитивы, но в реальности могут быть уязвимости во вполне конкретных реализациях.

2

"Хакерам из APT20 удалось украсть"  "хакеры смогли обойти " Автор, ты (хорошо сегодня рождество, буду добрым) не прав.

–1

Ты из будующего пишешь?

0

Нет. Из места где у людей с логикой всё в порядке. Если они что то украли, то они это не обошли. Или как ты думаешь?

0

Речь ведь про "железные" ключи? На Вики про этот взлом написано, ключи поменяли всем

0

Так ключ генерится в приложении и на сервере, как злоумышленник будет их синкать?

0

Китайские хакеры

Пфф.

0

Переходим на хардварный второй фактор?

0
Террористический месяц

Кому я нужен 

0

Комментарий удален по просьбе пользователя

0

Удачи им со взломом отпечатков пальцев

–1
Террористический месяц
0
Террористический месяц

Чуете чем пахнет близордоненавистники????))

–3
Читать все 54 комментария
null