Čínskej hackerskej skupine sa podarilo obísť dvojfaktorovú autentifikáciu. V online priestore vyčíňala viac ako 2 roky
Medzi obeťami sú vládne subjekty z celého sveta, ako aj poskytovatelia riadených služieb
Bezpečnostní výskumníci z Fox-IT konečne odhalili a uzatvorili zložitú skladačku, na ktorej pracoval tím výskumníkov posledné dva roky. Najnovšia operácia s názvom „Wocao“ totižto s najväčšou pravdepodobnosťou odhalila známu čínsku hackerskú skupinu APT20, ktorá je údajne úzko spätá s čínskymi vládnymi špičkami.
Z vyšetrovania vyplýva, že primárnymi cieľmi hackerskej skupiny boli vládne subjekty a poskytovatelia riadených služieb. Prostredníctvom týchto subjektov boli následne zasiahnuté kritické a dôležité oblasti ako letectvo, zdravotníctvo, financie, poisťovníctvo a energetika, no na zozname sa našli aj naozaj špecifické oblasti ako hazardné hry, či výrobcovia fyzických zámkov.
Hackerská skupina zmenila svoju taktiku v rokoch 2016/2017
Čínska hackerská skupina APT20 nie je v tejto brandži žiadnym nováčikom a bezpečnostné spoločnosti jej vznik datujú až do roku 2011. Aktivity skupiny boli ostro sledované, no v rokoch 2016/2017 sa akosi vytratila, keďže zásadne zmenila spôsob svojej činnosti. Zo správy Fox-IT vyplýva, že práve v tomto období sa hackerská skupina pustila do celosvetového napádania spomínaných oblastí a to naozaj sofistikovanými spôsobmi.
Podľa bezpečnostných výskumníkov z Fox-IT využila hackerská skupina webové servery ako počiatočný bod vstupu do cieľových systémov, pričom sa primárne zamerala na podnikovú aplikačnú platformu JBoss, ktorá je využívaná vo veľkých podnikoch a vládnych sieťach. Skupina APT20 následne využívala zraniteľné miesta na získanie prístupu ku daným serverom, z ktorých sa následne dostala do ďalších kútov siete.
Skupina vyhľadávala administrátorské účty, prostredníctvom ktorých získavala oveľa väčšiu moc nad sieťou, pričom hlavným cieľom bolo získanie VPN poverení, vďaka čomu sa hackerom otvorili bezpečnejšie dvierka do infraštruktúry.
Neprehliadnite
Sofistikovaný hackerský útok
Za úspechom hackerskej skupiny stojí aj fakt, že sa im podarilo využívať už nainštalovaný softvér na zariadeniach v sieti, takže hackeri nemuseli na zariadenia sťahovať a inštalovať ďalší škodlivý softvér, ktorého odhalenie by tak náročné nebolo.
Úplným vyvrcholením skupiny APT20 však bezpochyby bolo prelomenie dvojfaktorovej autentifikácie, ktoré doposiaľ nebolo úplne objasnené. Výskumníci z Fox-IT totižto sami neprišli úplne na to, aký spôsob hackeri použili, pričom v správe uvádzajú iba možnú cestu, akou sa ku špeciálnym kódom, ktoré sú naviazané na vygenerovaný token, vôbec dostali.
Prečo práve Wocao?
Výskumná spoločnosť Fox-IT mala čo dočinenia s hackerskou skupinou iba vďaka tomu, že si ju na pomoc privolala jedna z napadnutých spoločností. Po dlhom vyšetrovaní a zneškodňovaní hrozieb v rámci infraštruktúry sa však vyskytol jeden zaujímavý moment, ktorý nakoniec zohral v celej operácií dôležitú úlohu. Na mysli máme práve moment, kedy bol hackerom úplne zamedzený prístup ku webshellom a kedy operácia získala svoj názov – Wocao. Hackeri sa na úplnom konci pokúšali spustiť niekoľko príkazov v systéme Windows, pričom po frustrácii napísali posledný príkaz – wocao, čo v čínskom slangu znamená slovo „sakra“, poprípade iný vulgárnejší derivát.
Komentáre