Os pesquisadores de segurança da Fox-IT dizem ter evidências de que o grupo chinês de hackers APT20 ignorou a autenticação de dois fatores (2FA). Isso teria acontecido em uma onda recente de ataques globais direcionados a entidade governamentais e provedores de serviços gerenciados (MSPs).
Segundo os pesquisadores, entidades governamentais hackeadas e MSPs atuam em setores como aviação, saúde, finanças, seguros e energia. Mas também em nichos como jogos e bloqueios físicos, de acordo com o ZDNet .
Um APT (Ameaça persistente avançada), parte do nome do grupo de hackers, é um ataque direcionado no qual um invasor obtém acesso de longo prazo a uma rede.
Segundo os pesquisadores, eles encontraram evidências de que os hackers estavam conectados a contas VPN, protegidas pelo 2FA. Embora ainda não esteja claro como os hackers fizeram isso, a Fox-IT tem uma teoria.
Por exemplo, comenta-se que o APT20 roubou um token de software RSA SecurID de um sistema invadido, que o grupo de hackers chineses usou em seus computadores para gerar códigos únicos válidos e contornar o 2FA.
Esta operação normalmente não é possível. Para usar um desses tokens de software, o usuário deve conectar um dispositivo físico ao computador, após o qual o dispositivo e o token de software geram um código 2FA válido. Se o dispositivo estiver ausente, o software RSA SecureID gerará um erro.
No entanto, a equipe de Fox-IT tem uma teoria sobre como os hackers conseguiram contornar esse problema. Em princípio, o token de software é gerado para um sistema específico e você precisa de acesso a esse sistema para se apossar do token. Na prática, no entanto, isso não é necessário.
“Parece que o invasor não precisa se preocupar em obter o valor específico do sistema da vítima, porque esse valor específico é verificado apenas ao importar o SecurID Token Seed”, explicam os pesquisadores da Fox-IT. “Isso significa que o invasor pode simplesmente corrigir a verificação, que verifica se o token de software importado foi gerado para este sistema e não precisa fazer nenhum esforço para roubar o valor específico do sistema”.
Em resumo, é suficiente que um invasor roube um token de software RSA SecurID e remende uma instrução para gerar tokens 2FA válidos.
Você também deve ler!
Proteja sua conta! Como ativar a verificação em duas etapas no WhatsApp