Chinesische APT-Gruppe gesehen, die 2FA umgeht

Chinesische APT-Gruppe gesehen, die 2FA umgeht

In einem kürzlich veröffentlichten Bericht haben Sicherheitsforscher Beweise dafür gefunden, dass eine staatlich geförderte chinesische Hacking-Gruppe, APT20, in einer kürzlich durchgeführten Kampagne die Zwei-Faktor-Authentifizierung (2FA) umgehen konnte. Erweiterte dauerhafte Bedrohung ( GEEIGNET ) Gruppen werden in der Regel als Gruppen definiert, die häufig vom Staat gesponsert werden, Zugriff auf ein bestimmtes Netzwerk erhalten und vor der Erkennung über einen längeren Zeitraum hinweg arbeiten können. APT20, oder Wocao, ist eine solche Gruppe und schien bis vor kurzem eine Pause eingelegt zu haben, da ihre Geschäftstätigkeit für die Zeiträume 2016 und 2017 nicht sehr bekannt war.



In dem Bericht Von Fox-IT veröffentlicht, wurde gezeigt, dass die Hauptziele der Gruppe Regierungsstellen und Managed Service Provider (MSPs) waren. Die staatlichen Stellen und MSPs waren in Bereichen wie Luftfahrt, Gesundheitswesen, Finanzen, Versicherungen, Energie und sogar in Nischen wie Glücksspiel und physischen Sperren tätig. Wie oben erwähnt, schienen Sicherheitsforscher im Zeitraum von 2016 bis 2017 den Überblick über die APT20-Aktivitäten zu verlieren. Ich bin sicher, einige hofften, dass sie endgültig verschwunden waren, aber angesichts der aktuellen Forschungsergebnisse änderte die Gruppe ihre Taktik ziemlich erheblich. Aufgrund dieser neuen Informationen scheint die Gruppe in den letzten zwei Jahren aktiv gewesen zu sein.



Neue Taktiken der Gruppe scheinen zunächst auf Webserver als ersten Einstiegspunkt abzuzielen. Die Gruppe scheint sich weiterhin auf laufende Unternehmensnetzwerke zu konzentrieren JBoss Dies ist eine Unternehmensplattform, die häufig in Unternehmens- und Regierungsnetzwerken zu finden ist. Um Zugriff auf die Webserver zu erhalten, verwendete die Gruppe eine Vielzahl von Sicherheitslücken. Anschließend wurden Web-Shells erstellt, und schließlich sollte sich die Gruppe seitlich über das Netzwerk ausbreiten. Sobald das Netzwerk kompromittiert war, gab die Gruppe Kennwörter aus und suchte nach Administratorkonten, um den Zugriff zu maximieren. Ein Hauptanliegen war das Abrufen von VPN-Anmeldeinformationen, damit Hacker den Zugriff auf sicherere Bereiche der Infrastruktur eines Opfers eskalieren oder die VPN-Konten als stabilere Hintertüren verwenden können. Dies alles geschah, während es gelang, über einen langen Zeitraum unter dem Radar zu fliegen.

chinesische apt Gruppe unter Umgehung von 2fa



Die Heimlichkeit der Gruppe kann auf die Verwendung legitimer Tools zurückgeführt werden, die keinen Verdacht auf im Netzwerk installierte Sicherheitssoftware aufkommen lassen. Wenn sie maßgeschneiderte Malware installiert hätten, wäre ihre Wahrscheinlichkeit, abgefangen zu werden, erheblich höher gewesen. Dies ist eine Taktik, die von vielen anderen APT-Gruppen auf der ganzen Welt angewendet wird. Was das Interesse der Forscher geweckt hat, ist, dass es der Gruppe anscheinend gelungen ist, den mit den VPN-Konten der Opfer verbundenen 2FA-Schutz zu umgehen. Wie genau dies getan wurde, ist noch nicht bekannt, aber Forscher fanden entsprechende Beweise dafür, wie die Konten kompromittiert worden sein könnten.

2FA umgehen

Aus der Analyse der Forscher geht hervor, dass APT20 einem gehackten System ein RSA SecurID-Software-Token gestohlen hat, das der chinesische Schauspieler dann auf seinen Computern verwendete, um gültige Einmalcodes zu generieren und 2FA nach Belieben zu umgehen. Software Token sind eine Form der Zwei-Faktor-Authentifizierung, die auf Geräten wie einem Desktop- oder Laptop-PC gespeichert sind und manchmal verwendet werden, um den Zugriff auf den PC oder die Dienste zu autorisieren. Diese Codes können dupliziert werden und wurden in der Vergangenheit von Hackern bei früheren Angriffen aufgedeckt. Hardware-Token gelten als sicherer, da die Token auf der Hardware gespeichert sind und nicht dupliziert werden können. Normalerweise müssen Software-Token jedoch in vielen Fällen an eine physische Hardware angeschlossen werden. Das Gerät und das Software-Token würden dann einen gültigen 2FA-Code generieren. Wenn das Gerät fehlte, erzeugte die RSA SecureID-Software einen Fehler.

Die Forscher erklärten, wie die Gruppe möglicherweise 2FA umgehen konnte, und erklärten Folgendes:



Die Anwendung konnte nicht korrekt gestartet werden (0x0000005)

„Das Software-Token wird für ein bestimmtes System generiert, aber dieser systemspezifische Wert kann natürlich vom Akteur leicht abgerufen werden, wenn er Zugriff auf das System des Opfers hat. Wie sich herausstellt, muss der Akteur nicht wirklich durchlaufen die Schwierigkeit, den systemspezifischen Wert des Opfers zu erhalten, da dieser spezifische Wert nur beim Importieren des SecurID-Token-Seeds überprüft wird und keine Beziehung zum Seed hat, der zum Generieren der tatsächlichen 2-Faktor-Token verwendet wird. Dies bedeutet, dass der Akteur die Prüfung, die überprüft, ob das importierte Soft-Token für dieses System generiert wurde, einfach patchen kann und sich nicht darum kümmern muss, den systemspezifischen Wert zu stehlen. Kurz gesagt, alles, was der Akteur tun muss, um ihn zu nutzen Der 2-Faktor-Authentifizierungscode besteht darin, ein RSA SecurID-Software-Token zu stehlen und eine Anweisung zu patchen, wodurch gültige Token generiert werden. “

Die Gefahr, die von APT-Gruppen im Allgemeinen ausgeht, ist bei APT20 deutlich zu erkennen, und selbst wenn die Taktik geändert wird, scheinen sie in der Lage zu sein, die Regeln für den unangekündigten Einbruch in Netzwerke neu zu schreiben. In der Vergangenheit wurde APT20 nach einer Reihe von Anschläge Dies begann anscheinend im Jahr 2011. In diesem Fall zielte die Gruppe auf Unternehmen im chemischen Sektor ab. Diese Angriffe wurden weiter durch die Verwendung von a charakterisiert Trojaner genannt Giftiger Efeu . Diese Angriffe wurden als motiviert angesehen, indem Wettbewerbsvorteile gegenüber dem Wettbewerb im Chemiesektor erzielt wurden. Angesichts der Liste zahlreicher Wirtschaftssektoren, auf die APT20 abzielt, kann davon ausgegangen werden, dass dies noch immer der Fall ist. Symantec kam 2011 zu dem Schluss, dass sich diese Angriffe hauptsächlich auf den chemischen Sektor konzentrierten, mit dem Ziel, sensible Dokumente wie proprietäre Designs, Formeln und Herstellungsverfahren zu erhalten. Während sich die Taktik geändert hat, scheint es, dass das Gesamtziel dies nicht getan hat.