Los hackers frustran la protección de la autenticación dual
hace 5 años
El grupo de hackers APT20 ha logrado encontrar una solución para evitar la autenticación de dos factores. En lugar de usar malware y programas, se las arreglan para tomar el control de los dispositivos y han utilizado cuentas VPN protegidas para esto.
La compañía holandesa de ciberseguridad Fox-IT acaba de rastrear a un grupo de hackers vinculados al gobierno chino, apodado APT20. El grupo, conocido desde 2011, parecía desaparecer en 2016 cuando cambió su modus operandi. Sin embargo, APT20 no ha permanecido inactivo y Fox-IT ha encontrado un registro de sus actividades en los últimos años, que han implicado infiltrarse en muchos sistemas e incluso eludir laautenticación de dos factores. La firma apodó los ataques " Operación Wacao ».
El grupo se dirigió a entidades gubernamentales y Proveedores de servicios administrados (Msp) también llamado Outsourcing o revendedores de servicios, en áreas como aviación, aviación, Construcción, los juegos deDinero, salud, finanzas, seguros y muchos otros. Se infiltraron en las redes internas al comprometer una Servidor dirigidos a aquellos que utilizan JBoss, una plataforma paraAplicaciones. A partir de ahí, pudieron atacar directamente otros dispositivos en la red interna.
Un método de intrusión muy difícil de detectar
El grupo fue capaz de pasar desapercibido utilizando las herramientas ya en su lugar para controlar los dispositivos, en lugar de instalar sus propios programas y Malware, evitando así la detección por Software Seguridad. Como resultado, fueron capaces de recuperar Contraseñas, incluidas las de las cuentas de administrador y Vpn. Sin embargo, al menos una de las empresas objetivo detectó la intrusión y llamó a Fox-IT para llevar a cabo la investigación.
Los intrusos acceden regularmente a los sistemas Vía el Defectos descubrimientos, identificadores recuperados y contraseñas Vía herramientas en su lugar o mediante la instalación de Keyloggersscripts u otras herramientas, y luego cuando se completan, comprimieron los datos recopilados en un archivo RAR. Se enviarían el uno al otro el archivo RAR y luego borrarían todas las herramientas utilizadas para evitar la detección. El nombre Wacao es una palabrota en chino, y apareció en la historia de los pedidos recibidos después de limpiar un sistema, cuando un hacker quería acceder a la red y se dio cuenta de que los comandos habituales no funcionaban.
Token robado utilizado para acceder a cuentas VPN
Si bien la mayoría de los elementos descubiertos son métodos más o menos convencionales con algunas variantes, los investigadores descubrieron con sorpresa que Hackers logró usar cuentas Vpn protegida por la autenticación de dos factores. No han sido capaces de determinar con certeza cómo lograron sus objetivos, pero creen que han logrado robar un Token Software Rsa SecurID, a continuación, se utiliza para generar códigos de un solo uso para la autenticación de dos factores.
Incluso si el token se genera para funcionar sólo en un dispositivo determinado, los piratas informáticos podrían simplemente haber cambiado la parte del programa que comprueba si el sistema coincide con el esperado, como se resume en el informe. « En resumen, todo lo que el actor necesita hacer para usar códigos de autenticación de dos factores es robar un token de software RSA SecurID y modificar una instrucción, lo que permite la generación de tokens válidos. »
¿Te interesa lo que acabas de leer?
Suscríbete al boletín de noticias El día a día Nuestras últimas noticias del día.
También te interesará esto
Si quieres conocer otros artículos parecidos a Los hackers frustran la protección de la autenticación dual puedes visitar la categoría Otros.
Otras noticias que te pueden interesar