Imagen: Fox-IT
Los investigadores de seguridad dicen que encontraron evidencia de que un grupo de piratería vinculado al gobierno chino ha pasado por alto la autenticación de dos factores (2FA) en una ola reciente de ataques.
Los ataques han sido atribuidos a un grupo que la industria de la seguridad cibernética está rastreando como APT20, que se cree que opera a instancias del gobierno de Beijing, dijo la firma holandesa de seguridad cibernética Fox-IT en un informe publicado la semana pasada.
Los objetivos principales del grupo eran entidades gubernamentales y proveedores de servicios gestionados (MSP). Las entidades gubernamentales y los MSP estaban activos en campos como la aviación, la atención médica, las finanzas, los seguros, la energía e incluso algo tan específico como el juego y las cerraduras físicas.
Actividad reciente de APT20
El informe de Fox-IT viene a llenar un vacío en la historia del grupo. Piratería de APT20 se remonta a 2011, pero los investigadores perdieron el rastro de las operaciones del grupo en 2016-2017, cuando cambiaron su modo de operación.
El informe de Fox-IT documenta lo que el grupo ha estado haciendo en los últimos dos años y cómo lo han estado haciendo.
Según los investigadores, los piratas informáticos utilizaron servidores website como punto de entrada inicial a los sistemas de un objetivo, con un enfoque certain en JBoss, una plataforma de aplicaciones empresariales que a menudo se encuentra en grandes redes corporativas y gubernamentales.
APT20 utilizó vulnerabilidades para obtener acceso a estos servidores, instalar shells world-wide-web y luego propagarse lateralmente a través de los sistemas internos de la víctima.
Mientras estaba en el inside, Fox-IT dijo que el grupo arrojó contraseñas y buscó cuentas de administrador, para maximizar su acceso. Una preocupación principal period obtener las credenciales de VPN, para que los piratas informáticos pudieran escalar el acceso a áreas más seguras de la infraestructura de la víctima, o usar las cuentas de VPN como puertas traseras más estables.
Fox-IT dijo que a pesar de lo que parece ser una actividad de piratería muy prodigiosa en los últimos dos años, «en common, el actor ha podido permanecer fuera del radar».
Lo hicieron, explican los investigadores, mediante el uso de herramientas legítimas que ya estaban instaladas en dispositivos pirateados, en lugar de descargar su propio malware personalizado, que podría haber sido detectado por el software program de seguridad regional.
APT20 visto sin pasar por 2FA
Pero esto no fue lo que más se destacó en todos los ataques que investigó la empresa de seguridad holandesa. Los analistas de Fox-IT dijeron que encontraron evidencia de que los hackers se conectaron a cuentas VPN protegidas por 2FA.
Cómo lo hicieron no está claro aunque, el equipo de Fox-IT tiene su teoría. Dijeron que APT20 robó un RSA SecurID token de program de un sistema pirateado, que el actor chino luego utilizó en sus computadoras para generar códigos válidos de una sola vez y omitir 2FA a voluntad.
Normalmente, esto no sería posible. Para usar uno de estos tokens de application, el usuario necesitaría conectar un dispositivo físico (hardware) a su computadora. El dispositivo y el token de software program generarían un código 2FA válido. Si faltaba el dispositivo, el program RSA SecureID generaría un error.
Imagen: Fox-IT
Fox-IT explica cómo los piratas informáticos podrían haber solucionado este problema:
El token de software se genera para un sistema específico, pero, por supuesto, este valor específico del sistema podría ser fácilmente recuperado por el actor al tener acceso al sistema de la víctima.
Como resultado, el actor en realidad no necesita pasar por el problema de obtener el valor específico del sistema de la víctima, porque este valor específico solo se verifica al importar la Semilla de Token SecurID, y no tiene relación con la semilla utilizada para generar 2 reales. Fichas de variable. Esto significa que el actor puede simplemente parchear la verificación que verifica si el token suave importado se generó para este sistema, y no necesita molestarse en robar el valor específico del sistema.
En resumen, todo lo que el actor tiene que hacer para usar los códigos de autenticación de 2 factores es robar un token de computer software RSA SecurID y parchear 1 instrucción, lo que resulta en la generación de tokens válidos.
Imagen: Fox-IT
Wocao
Fox-IT dijo que pudo investigar los ataques de APT20 porque fueron llamados por una de las compañías pirateadas para ayudar a investigar y responder a los ataques.
Se puede encontrar más información sobre estos ataques en un informe llamado «Operación Wocao«.
La compañía holandesa dijo que nombró el informe «Wocao» después de una respuesta de los hackers chinos después de que fueron detectados y expulsados de la purple de una víctima.
En la captura de pantalla a continuación, puede ver APT20 tratando de conectarse a un shell internet (ahora eliminado) que instalaron en la pink de la víctima.
Los hackers intentan ejecutar varios comandos de Home windows. Cuando los comandos no se ejecutan, los piratas informáticos APT20 entienden que han sido detectados y expulsados de la pink, y escriben un último comando con frustración: wocao, que es la jerga china para «mierda» o «maldición».
Imagen: Fox-IT
