Vă spun o poveste interesantă despre modul în care un grup de hackeri sponsorizat de stat reuşeşte să ocolească sistemul de autentificare RSA SecurID în doi factori.
APT20
Cum au făcut-o rămâne neclar, deși, echipa Fox-IT are o teorie proprie. Aceştia relatează că APT20 (pentru cei care nu ştiu, este vorba de una dintre noile grupări de hacking pe care China le sponsorizează) a furat un token software al RSA SecurID de la un sistem piratat, pe care actorul chinez l-a folosit mai apoi pe staţiile sale pentru a genera coduri valide unice și a ocoli autentificarea în doi factori (2FA).
În mod normal acest lucru nu ar fi posibil deoarece pentru a utiliza unul dintre aceste token-uri software, un utilizator normal ar trebui să conecteze un dispozitiv fizic la computerul său. Apoi dispozitivul și tokenul software vor genera un cod 2FA valid. Dacă dispozitivul lipsește, software-ul RSA SecureID ar genera o eroare.
Echipa Fox-IT explică modul în care hackerii ar fi putut încerca această problemă:
- Tokenul software este generat pentru un sistem specific, dar, desigur, această valoare specifică a sistemului ar putea fi ușor preluată de către actor atunci când are acces la sistemul victimei.
- După cum s-a dovedit, actorul nu trebuie să se obosească pentru a obține în clar valoarea specifică a sistemului victimei, deoarece această valoare specifică este verificată doar la importul tokenului SecurID și nu are nicio relație cu importurile utilizate pentru a genera efectiv tokenurile de autentificare în 2 factori. Acest lucru înseamnă că actorul poate, de fapt, să facă un patch la testul care verifică dacă tokenul soft importat a fost generat pentru acest sistem și nu trebuie să se complice deloc cu achiziţia (de fapt furtul) valorii specifice a sistemului.
- Pe scurt, tot ce trebuie să facă actorul chinez pentru a folosi codurile de autentificare cu 2 factori este de a fura un token software RSA SecurID și de a corela o instrucțiune, ceea ce duce la generarea de jetoane valide.