Grupo de hackers chinês sabe como ignorar a autenticação de dois fatores

Os pesquisadores de segurança da Fox-IT dizem ter evidências de que o grupo chinês de hackers APT20 ignorou a autenticação de dois fatores (2FA). Isso teria acontecido em uma onda recente de ataques globais direcionados a entidade governamentais e provedores de serviços gerenciados (MSPs).

Segundo os pesquisadores, entidades governamentais hackeadas e MSPs atuam em setores como aviação, saúde, finanças, seguros e energia. Mas também em nichos como jogos e bloqueios físicos, de acordo com o ZDNet .

Um APT (Ameaça persistente avançada), parte do nome do grupo de hackers, é um ataque direcionado no qual um invasor obtém acesso de longo prazo a uma rede.

Segundo os pesquisadores, eles encontraram evidências de que os hackers estavam conectados a contas VPN, protegidas pelo 2FA. Embora ainda não esteja claro como os hackers fizeram isso, a Fox-IT tem uma teoria.

Por exemplo, comenta-se que o APT20 roubou um token de software RSA SecurID de um sistema invadido, que o grupo de hackers chineses usou em seus computadores para gerar códigos únicos válidos e contornar o 2FA.

Esta operação normalmente não é possível. Para usar um desses tokens de software, o usuário deve conectar um dispositivo físico ao computador, após o qual o dispositivo e o token de software geram um código 2FA válido. Se o dispositivo estiver ausente, o software RSA SecureID gerará um erro.

No entanto, a equipe de Fox-IT tem uma teoria sobre como os hackers conseguiram contornar esse problema. Em princípio, o token de software é gerado para um sistema específico e você precisa de acesso a esse sistema para se apossar do token. Na prática, no entanto, isso não é necessário.

“Parece que o invasor não precisa se preocupar em obter o valor específico do sistema da vítima, porque esse valor específico é verificado apenas ao importar o SecurID Token Seed”, explicam os pesquisadores da Fox-IT. “Isso significa que o invasor pode simplesmente corrigir a verificação, que verifica se o token de software importado foi gerado para este sistema e não precisa fazer nenhum esforço para roubar o valor específico do sistema”.

Em resumo, é suficiente que um invasor roube um token de software RSA SecurID e remende uma instrução para gerar tokens 2FA válidos.

Você também deve ler!

Proteja sua conta! Como ativar a verificação em duas etapas no WhatsApp

Postado por
Editor-chefe no Hardware.com.br. Aficionado por tecnologias que realmente funcionam. Segue lá no Insta: @plazawilliam Elogios, críticas e sugestões de pauta: william@hardware.com.br
Siga em:
Compartilhe
Deixe seu comentário
Veja também
Publicações Relacionadas
Img de rastreio
Localize algo no site!