Guvenlik araştırmacıları, Cin hukumetiyle bağlantılı bir bilgisayar korsanlığı grubunun son saldırısında iki faktorlu kimlik doğrulamayı (2FA) atladığına dair kanıt bulduklarını soylediler.
Hollandalı siber guvenlik firması Fox-IT, gectiğimiz hafta yayınlanan bir raporda, saldırıların, siber guvenlik endustrisinin Pekin hukumetinin emriyle calıştığına inanılan APT20 olarak izlediği bir gruba atfedildiğini soyledi.
Grubun hedef aldıkları devlet kurumları ve yonetilen hizmet sağlayıcıları. Hukumet kurumları ve MSP'ler havacılık, sağlık, finans, sigorta, enerji ve hatta kumar gibi alanlarda aktif.
SON APT20 FAALİYETİ
Fox-IT raporu grubun tarihindeki bir boşluğu dolduruyor. APT20'nin saldırıları 2011'e kadar dayanıyor, ancak araştırmacılar grubun operasyonlarını 2016-2017'de calışma şekillerini değiştirdiklerinde kaybettiklerini soyledi.
Fox-IT'in raporu, grubun son iki yılda neler yaptığını ve bunu nasıl yaptığını belgeliyor.
Araştırmacılara gore, bilgisayar korsanları web sunucularını bir hedefin sistemlerine ilk giriş noktası olarak kullandılar. Ozellikle buyuk şirket ve hukumet ağlarında bulunan bir kurumsal uygulama platformu olan JBoss'a odaklandılar.
APT20 sunuculara erişim sağlamak, web shelleri yuklemek ve daha sonra kurbanın internal sistemine yayılmak icin guvenlik acıklarını kullandı.
Fox-IT icerideyken grubun, erişimi en ust duzeye cıkarmak icin parolalar denediklerini ve yonetici hesaplarını aradıklarını soyledi. Birincil endişe ise VPN kimlik bilgilerini almaktı, bu yuzden bilgisayar korsanları kurbanın altyapısının daha guvenli alanlarına erişimi arttırabilir veya VPN hesaplarını arka planda daha kararlı olarak kullanabilir.
Fox-IT, son iki yılda cok muthiş bir saldırı faaliyeti gibi gorunse de genel olarak saldırganın radarın altında kaldığını soyledi.
Araştırmacılar bunu, yerel guvenlik yazılımı tarafından tespit edilebilen kendi ozel olarak oluşturulmuş kotu amaclı yazılımlarını indirmek yerine saldırıya uğramış cihazlara zaten yuklenmiş olan meşru aracları kullandıklarını acıkladılar.
APT20'nin 2FA'yı Bypass Edildiği Goruldu
Ancak bu, Hollanda guvenlik şirketinin araştırdığı tum saldırılarda en fazla goze carpan şey değildi. Fox-IT analistleri, bilgisayar korsanlarının 2FA tarafından korunan VPN hesaplarına bağlandığına dair kanıt bulduklarını soyledi.
Nasıl yaptıkları belirsizliğini halen koruyor ancak Fox-IT ekibinin kendi teorisi var. APT20'nin saldırıya uğramış bir sistemden bir RSA SecurID software tokeni caldığını, Cinli saldırganların gecerli bir kerelik kodlar oluşturmak icin ve istediği zaman 2FA'yı atlatmak icin bilgisayarlarında kullandıklarını soylediler.
Normalde bu mumkun olamazdı. Cunku bu software tokenlerden birini kullanmak icin kullanıcının bilgisayarına fiziksel bir (donanım) aygıt bağlanması gerekir. Cihaz ve software token gecerli bir 2FA kodu oluşturur. Aygıt yoksa, RSA SecureID yazılımı bir hata oluşturur.
Resim: Fox-IT
Fox-IT ekibi, bilgisayar korsanlarının bu sorunla nasıl başa cıkabileceğini acıklıyor:
Software tokeni belirli bir sistem icin uretilir, ancak elbette bu sisteme ozgu bir değerdir. Saldırgan sisteme eriştiğinde kurbanın sisteminden kolayca alınabilir.
Sonuc olarak, saldırganın aslında kurbanın sisteme ozgu değerini elde etme sorununu yaşamasına gerek yoktur, cunku bu belirli değer sadece SecurID Token Tohumunu alırken kontrol edilir ve gercek 2'yi oluşturmak icin kullanılan tohumla hicbir ilişkisi yoktur. faktor belirtecleri. Bu, saldırganın aslında ice aktarılan yumuşak belirtecin bu sistem icin uretilip uretilmediğini doğrulayan denetimi yamalayabileceği ve sisteme ozgu değeri calmakla uğraşması gerekmediği anlamına gelir.
Kısacası saldırgan 2 faktorlu kimlik doğrulama kodlarını kullanmak icin bunu yapmak zorundadır, bir RSA SecurID Yazılım Tokenini calmak ve gecerli tokenlerin uretilmesine neden olanı patchlemek.
Resim: Fox-ITWOCAO
Fox-IT, APT20'nin saldırılarını araştırabildiğini soyledi. Cunku saldırıya uğramış şirketlerden biri tarafından saldırıları araştırmaya ve yanıt vermeye yardımcı olmaları icin cağrıldılar.
Bu saldırılar hakkında daha fazla bilgiyi "Wocao HarekÂtı" başlıklı bir raporda bulabilirsiniz.
Hollandalı şirket, Cinli bilgisayar korsanlarının tespit edildikten ve kurbanın ağından cıktıktan sonra yaptıkları yanıtın ardından "Wocao" raporunu adlandırdıklarını soyledi.
Aşağıdaki ekran goruntusunde APT20'yi kurbanın ağına yukledikleri (şimdi kaldırılmış) bir web shelline bağlanmaya calıştıklarını goruntuleyebilirsiniz.
Bilgisayar korsanları birkac Windows komutu calıştırmayı deniyor. Komutlar yurutulemediğinde, APT20 korsanları tespit edildiklerini, ağdan atıldıklarını anladılar ve hayal kırıklığı icinde son bir komut yazdılar. - "****" veya "lanet" anlamında, Cin'de argo olarak gecen "wocao. "
Kaynak: Chinese hacker group caught bypassing 2FA | ZDNet