Китайське кібер-угруповання APT20 успішно обходить 2FA

Голландська компанія Fox-IT, яка спеціалізується на консалтингових послугах з кібербезпеки, заявляє, що вона знайшла докази того, що група хакерів, пов’язаних з урядом Китаю, обійшла двофакторну автентифікацію (2FA) під час недавньої хвилі атак. Хоча прямих доказів про співпрацю китайських урядових структур і групи хакерів на ім’я APT20 немає.

Вперше хакерську діяльність, яка, імовірно, належить групі APT20, виявили в 2011 році. У 2016-2017 роках вона зникла з поля зору фахівців, і лише нещодавно Fox-IT виявила сліди втручання APT20 в мережу одного зі своїх клієнтів, який попросив розслідувати порушення в кібербезпеці.

На думку Fox-IT, протягом останніх двох років група APT20 займалася зломом даних державних структур, великих компаній і постачальників послуг в США, Франції, Німеччини, Італії, Мексики, Португалії, Іспанії, Великобританії і Бразилії. Також хакери з APT20 були активні в таких галузях, як авіація, охорона здоров’я, фінанси, страхування та енергетика.

Дослідники стверджують, що нещодавно APT20 підключилися до облікових записів VPN, які захищені двофакторною авторизацією. Як це сталося, фахівці Fox-IT точно не знають. Вони припускають, що хакери змогли вкрасти зі зламаної системи програмний токен RSA SecurID. За допомогою вкраденої програми вони потім генерували одноразові коди для обходу двофакторного захисту. Хоча, як стверджують експерти, у звичайних умовах це зробити неможливо.

Більше про напади можна дізнатися у звіті під назвою “Операція Вокао”.