Команда специалистов в области информационной безопасности из Fox-IT Holding подготовила отчёт, содержащий результаты двухлетнего анализа деятельности (инструментов, методов и процедур) китайской группы киберпреступников под условным наименованием APT20.
Злоумышленники атакуют веб-серверы, используя для этого легальные каналы, такие как VPN. Внутри защищённой сети они ищут рабочие станции сотрудников с правами администратора, извлекая оттуда содержимое хранилищ менеджеров паролей. Полученные пароли применяются для эксфильтрации дальнейшей информации, сохранения контроля над захваченными системами, саботажа и взлома других компьютеров.
По мере возможности, APT20 старается удалить из файловой системы скомпрометированной машины все следы своей деятельности, чтобы затруднить последующее расследование и избежать обнаружения.
Наибольший интерес представляют найденные исследователями свидетельства того, что APT20 может проникать в виртуальные сети, защищённые с помощью двухфакторной аутентификации (2FA). Ранее уже демонстрировались довольно сложные методы преодоления такой защиты, но Fox-IT утверждает, что китайские хакеры нашли новый путь обхода 2FA. Для этого они используют программные токены RSA SecurID, полученные из взломанной машины, модифицируя ключ так, чтобы он мог работать на других системах.
«Программный токен создается для конкретной системы, но, разумеется, специфическое для неё значение может быть легко получено хакером при наличии доступа к системе жертвы, — пояснили исследователи Fox-IT. — Как выяснилось, системно-специфическое значение проверяется только при импорте SecurID Token Seed и не имеет отношения к начальному вектору (seed), используемому для генерации 2-факторных токенов. Это означает, что взломщику не нужно красть системно-специфическое значение: он может просто пропатчить процедуру, которая проверяет, сгенерирован ли импортированный программный токен для этой системы».
Эксперты полагают, что APT20 занимается кибершпионажем в интересах китайского правительства. Среди её жертв идентифицированы государственные организации и провайдеры управляемых сервисов в 10 странах, относящиеся к различным отраслям, включая энергетику, здравоохранение и высокие технологии.
Как проходили роды королев в прошлые времена