Çin destekli APT20 grubu devlet kurumlarını ve yönetilen hizmet sağlayıcılarını hacklemekle meşguldü.
Güvenlik araştırmacıları, Çin hükümetiyle bağlantılı bir bilgisayar korsanlığı grubunun son saldırısında iki faktörlü kimlik doğrulamayı (2FA) atladığına dair kanıt bulduklarını söylediler.
Hollandalı siber güvenlik firması Fox-IT, geçtiğimiz hafta yayınlanan bir raporda, saldırıların, siber güvenlik endüstrisinin Pekin hükümetinin emriyle çalıştığına inanılan APT20 olarak izlediği bir gruba atfedildiğini söyledi.
Grubun hedef aldıkları devlet kurumları ve yönetilen hizmet sağlayıcıları. Hükümet kurumları ve MSP'ler havacılık, sağlık, finans, sigorta, enerji ve hatta kumar gibi alanlarda aktif.
Fox-IT'in raporu, grubun son iki yılda neler yaptığını ve bunu nasıl yaptığını belgeliyor.
Araştırmacılara göre, bilgisayar korsanları web sunucularını bir hedefin sistemlerine ilk giriş noktası olarak kullandılar. Özellikle büyük şirket ve hükümet ağlarında bulunan bir kurumsal uygulama platformu olan JBoss'a odaklandılar.
APT20 sunuculara erişim sağlamak, web shelleri yüklemek ve daha sonra kurbanın internal sistemine yayılmak için güvenlik açıklarını kullandı.
Fox-IT içerideyken grubun, erişimi en üst düzeye çıkarmak için parolalar denediklerini ve yönetici hesaplarını aradıklarını söyledi. Birincil endişe ise VPN kimlik bilgilerini almaktı, bu yüzden bilgisayar korsanları kurbanın altyapısının daha güvenli alanlarına erişimi arttırabilir veya VPN hesaplarını arka planda daha kararlı olarak kullanabilir.
Fox-IT, son iki yılda çok müthiş bir saldırı faaliyeti gibi görünse de genel olarak saldırganın radarın altında kaldığını söyledi.
Araştırmacılar bunu, yerel güvenlik yazılımı tarafından tespit edilebilen kendi özel olarak oluşturulmuş kötü amaçlı yazılımlarını indirmek yerine saldırıya uğramış cihazlara zaten yüklenmiş olan meşru araçları kullandıklarını açıkladılar.
APT20'nin 2FA'yı Bypass Edildiği Görüldü
Ancak bu, Hollanda güvenlik şirketinin araştırdığı tüm saldırılarda en fazla göze çarpan şey değildi. Fox-IT analistleri, bilgisayar korsanlarının 2FA tarafından korunan VPN hesaplarına bağlandığına dair kanıt bulduklarını söyledi.
Nasıl yaptıkları belirsizliğini halen koruyor ancak Fox-IT ekibinin kendi teorisi var. APT20'nin saldırıya uğramış bir sistemden bir RSA SecurID software tokeni çaldığını, Çinli saldırganların geçerli bir kerelik kodlar oluşturmak için ve istediği zaman 2FA'yı atlatmak için bilgisayarlarında kullandıklarını söylediler.
Normalde bu mümkün olamazdı. Çünkü bu software tokenlerden birini kullanmak için kullanıcının bilgisayarına fiziksel bir (donanım) aygıt bağlanması gerekir. Cihaz ve software token geçerli bir 2FA kodu oluşturur. Aygıt yoksa, RSA SecureID yazılımı bir hata oluşturur.
Resim: Fox-IT
Fox-IT ekibi, bilgisayar korsanlarının bu sorunla nasıl başa çıkabileceğini açıklıyor:
Software tokeni belirli bir sistem için üretilir, ancak elbette bu sisteme özgü bir değerdir. Saldırgan sisteme eriştiğinde kurbanın sisteminden kolayca alınabilir.
Sonuç olarak, saldırganın aslında kurbanın sisteme özgü değerini elde etme sorununu yaşamasına gerek yoktur, çünkü bu belirli değer sadece SecurID Token Tohumunu alırken kontrol edilir ve gerçek 2'yi oluşturmak için kullanılan tohumla hiçbir ilişkisi yoktur. faktör belirteçleri. Bu, saldırganın aslında içe aktarılan yumuşak belirtecin bu sistem için üretilip üretilmediğini doğrulayan denetimi yamalayabileceği ve sisteme özgü değeri çalmakla uğraşması gerekmediği anlamına gelir.
Kısacası saldırgan 2 faktörlü kimlik doğrulama kodlarını kullanmak için bunu yapmak zorundadır, bir RSA SecurID Yazılım Tokenini çalmak ve geçerli tokenlerin üretilmesine neden olanı patchlemek.
Resim: Fox-ITWOCAO
Fox-IT, APT20'nin saldırılarını araştırabildiğini söyledi. Çünkü saldırıya uğramış şirketlerden biri tarafından saldırıları araştırmaya ve yanıt vermeye yardımcı olmaları için çağrıldılar.
Bu saldırılar hakkında daha fazla bilgiyi "Wocao Harekâtı" başlıklı bir raporda bulabilirsiniz.
Hollandalı şirket, Çinli bilgisayar korsanlarının tespit edildikten ve kurbanın ağından çıktıktan sonra yaptıkları yanıtın ardından "Wocao" raporunu adlandırdıklarını söyledi.
Aşağıdaki ekran görüntüsünde APT20'yi kurbanın ağına yükledikleri (şimdi kaldırılmış) bir web shelline bağlanmaya çalıştıklarını görüntüleyebilirsiniz.
Bilgisayar korsanları birkaç Windows komutu çalıştırmayı deniyor. Komutlar yürütülemediğinde, APT20 korsanları tespit edildiklerini, ağdan atıldıklarını anladılar ve hayal kırıklığı içinde son bir komut yazdılar. - "****" veya "lanet" anlamında, Çin'de argo olarak geçen "wocao. "
Kaynak: Chinese hacker group caught bypassing 2FA | ZDNet
Güvenlik araştırmacıları, Çin hükümetiyle bağlantılı bir bilgisayar korsanlığı grubunun son saldırısında iki faktörlü kimlik doğrulamayı (2FA) atladığına dair kanıt bulduklarını söylediler.
Hollandalı siber güvenlik firması Fox-IT, geçtiğimiz hafta yayınlanan bir raporda, saldırıların, siber güvenlik endüstrisinin Pekin hükümetinin emriyle çalıştığına inanılan APT20 olarak izlediği bir gruba atfedildiğini söyledi.
Grubun hedef aldıkları devlet kurumları ve yönetilen hizmet sağlayıcıları. Hükümet kurumları ve MSP'ler havacılık, sağlık, finans, sigorta, enerji ve hatta kumar gibi alanlarda aktif.
SON APT20 FAALİYETİ
Fox-IT raporu grubun tarihindeki bir boşluğu dolduruyor. APT20'nin saldırıları 2011'e kadar dayanıyor, ancak araştırmacılar grubun operasyonlarını 2016-2017'de çalışma şekillerini değiştirdiklerinde kaybettiklerini söyledi.
Fox-IT'in raporu, grubun son iki yılda neler yaptığını ve bunu nasıl yaptığını belgeliyor.
Araştırmacılara göre, bilgisayar korsanları web sunucularını bir hedefin sistemlerine ilk giriş noktası olarak kullandılar. Özellikle büyük şirket ve hükümet ağlarında bulunan bir kurumsal uygulama platformu olan JBoss'a odaklandılar.
APT20 sunuculara erişim sağlamak, web shelleri yüklemek ve daha sonra kurbanın internal sistemine yayılmak için güvenlik açıklarını kullandı.
Fox-IT içerideyken grubun, erişimi en üst düzeye çıkarmak için parolalar denediklerini ve yönetici hesaplarını aradıklarını söyledi. Birincil endişe ise VPN kimlik bilgilerini almaktı, bu yüzden bilgisayar korsanları kurbanın altyapısının daha güvenli alanlarına erişimi arttırabilir veya VPN hesaplarını arka planda daha kararlı olarak kullanabilir.
Fox-IT, son iki yılda çok müthiş bir saldırı faaliyeti gibi görünse de genel olarak saldırganın radarın altında kaldığını söyledi.
Araştırmacılar bunu, yerel güvenlik yazılımı tarafından tespit edilebilen kendi özel olarak oluşturulmuş kötü amaçlı yazılımlarını indirmek yerine saldırıya uğramış cihazlara zaten yüklenmiş olan meşru araçları kullandıklarını açıkladılar.
APT20'nin 2FA'yı Bypass Edildiği Görüldü
Ancak bu, Hollanda güvenlik şirketinin araştırdığı tüm saldırılarda en fazla göze çarpan şey değildi. Fox-IT analistleri, bilgisayar korsanlarının 2FA tarafından korunan VPN hesaplarına bağlandığına dair kanıt bulduklarını söyledi.
Nasıl yaptıkları belirsizliğini halen koruyor ancak Fox-IT ekibinin kendi teorisi var. APT20'nin saldırıya uğramış bir sistemden bir RSA SecurID software tokeni çaldığını, Çinli saldırganların geçerli bir kerelik kodlar oluşturmak için ve istediği zaman 2FA'yı atlatmak için bilgisayarlarında kullandıklarını söylediler.
Normalde bu mümkün olamazdı. Çünkü bu software tokenlerden birini kullanmak için kullanıcının bilgisayarına fiziksel bir (donanım) aygıt bağlanması gerekir. Cihaz ve software token geçerli bir 2FA kodu oluşturur. Aygıt yoksa, RSA SecureID yazılımı bir hata oluşturur.
Resim: Fox-IT
Fox-IT ekibi, bilgisayar korsanlarının bu sorunla nasıl başa çıkabileceğini açıklıyor:
Software tokeni belirli bir sistem için üretilir, ancak elbette bu sisteme özgü bir değerdir. Saldırgan sisteme eriştiğinde kurbanın sisteminden kolayca alınabilir.
Sonuç olarak, saldırganın aslında kurbanın sisteme özgü değerini elde etme sorununu yaşamasına gerek yoktur, çünkü bu belirli değer sadece SecurID Token Tohumunu alırken kontrol edilir ve gerçek 2'yi oluşturmak için kullanılan tohumla hiçbir ilişkisi yoktur. faktör belirteçleri. Bu, saldırganın aslında içe aktarılan yumuşak belirtecin bu sistem için üretilip üretilmediğini doğrulayan denetimi yamalayabileceği ve sisteme özgü değeri çalmakla uğraşması gerekmediği anlamına gelir.
Kısacası saldırgan 2 faktörlü kimlik doğrulama kodlarını kullanmak için bunu yapmak zorundadır, bir RSA SecurID Yazılım Tokenini çalmak ve geçerli tokenlerin üretilmesine neden olanı patchlemek.
Resim: Fox-ITWOCAO
Fox-IT, APT20'nin saldırılarını araştırabildiğini söyledi. Çünkü saldırıya uğramış şirketlerden biri tarafından saldırıları araştırmaya ve yanıt vermeye yardımcı olmaları için çağrıldılar.
Bu saldırılar hakkında daha fazla bilgiyi "Wocao Harekâtı" başlıklı bir raporda bulabilirsiniz.
Hollandalı şirket, Çinli bilgisayar korsanlarının tespit edildikten ve kurbanın ağından çıktıktan sonra yaptıkları yanıtın ardından "Wocao" raporunu adlandırdıklarını söyledi.
Aşağıdaki ekran görüntüsünde APT20'yi kurbanın ağına yükledikleri (şimdi kaldırılmış) bir web shelline bağlanmaya çalıştıklarını görüntüleyebilirsiniz.
Bilgisayar korsanları birkaç Windows komutu çalıştırmayı deniyor. Komutlar yürütülemediğinde, APT20 korsanları tespit edildiklerini, ağdan atıldıklarını anladılar ve hayal kırıklığı içinde son bir komut yazdılar. - "****" veya "lanet" anlamında, Çin'de argo olarak geçen "wocao. "
Kaynak: Chinese hacker group caught bypassing 2FA | ZDNet