Un gruppo di ricercatori specializzati in sicurezza riferisce di un gruppo di hacker legati al governo cinese che sarebbero in qualche modo riusciti a bypassare il meccanismo di protezione noto come autenticazione a due fattori, siglato 2FA, funzione di protezione progettata per assicurare che solo l’utente possa accedere al proprio account, anche se qualcun altro conosce la password. Tipicamente con questo sistema è necessario confermare l’accesso da un dispositivo registrato, indicando codici o password mostrati su quest’ultimo e che sono di volta in volta diverse.
Stando a quanto riferisce Fox-IT, azienda olandese specializzala in sicurezza, gli attacchi attribuiti al gruppo denominato APT20 sarebbero partiti su richiesta del governo di Pechino. Target primario del gruppo sono stati enti governativi e provider di servizi gestiti (MSP), attivi in campi quali aviazione, assistenza sanitaria, finanza, assicurazioni, energia e anche nicchie come il gioco d’azzardo e le serrature elettroniche.
Fox-IT riferisce che attacchi da parte di APT20 risalgono al 2011 ma il gruppo non si era fatto più notare nel 2016-2017, avendo cambiato modalità di operare. Negli ultimi due anni i cybercriminali hanno sfruttato i web server come primo punto di ingresso per attaccare i sistemi-target, con particolare attenzione verso JBoss, un application server open source realizzato in Java, molto sfruttato da grandi imprese e reti governative.
APT20 ha sfruttato vulnerabilità per ottenere accesso a questi server, installato web shell (script caricati su un server allo scopo di dare a un hacker il controllo remoto di una macchina), per poi infiltrarsi “lateralmente” nei sistemi interni delle vittime.
Dall’interno, il gruppo è riuscito a ottenere il dump di password e individuare account amministratore, al fine di massimizzare l’accesso. La prima priorità è stata ottenere credenziali per le VPN in modo da scalare l’accesso ad aree sicure dell’infrastruttura o sfruttare gli account VPN come backdoor più stabile.
Nonostante la dimostrazione delle notevoli attività di hacking, i cybercriminali hanno continuato a operare senza dare troppo nell’occhio. I ricercatori spiegano che questo è stato possibile sfruttando strumenti già installati di serie su dispositivi hackerati anziché scaricare tool di malware creati in proprio, elementi che avrebbero potuto essere rilevati dai software di sicurezza in locale.
Come se tutto ciò non bastasse, dalle analisi di Fox-IT si evince che gli hacker sono riuscirti a sfruttare account VPN protetti con l’autenticazione a due fattori. Con l’autenticazione a due fattori, l’accesso al proprio account è consentito solo da dispositivi registrati (es. un computer, un telefono e un tablet). Quando si accedere a un nuovo dispositivo per la prima volta, bisogna fornire due informazioni: la password e il codice di verifica che viene inviato automaticamente sui dispositivi registrati. Solo immettendo il codice, si conferma di aver autorizzato l’accesso al nuovo dispositivo (non basta la sola password).
Non è chiaro in che modo sia stato possibile bypassare i meccanismi di protezione 2FA. Fox-IT ipotizza che APT20 abbia rubato un token RSA SecurID hackerando qualche sistema, elemento sfruttato per generare i codici di autenticazione per l’accesso agli account. Normalmente tutto ciò non è possibile: per usare questi token software è necessario collegare fisicamente un dispositivo hardware al computer; il dispositivo e il token software generano il codice 2FA valido; se manca il dispositivo hardware, il software RSA SecureID genera un errore. In qualche modo i cybercriminali sono riusciti a bypassare anche questo meccanismo di protezione.
Fox-IT riferisce di avere avviato indagini sul gruppo APT20, in seguito alle richieste di aziende che hanno richiesto la collaborazione dopo avere individuato l’hacking. Dettagli su varie attività di hacking segnalate sono indicati nel report denominato “Operation Wocao“.
L’autenticazione a due fattori non sempre è affidabile come molti ritengono: i messaggi che contengono i codici potrebbero essere intercettati da Trojan caricati nello smartphone della vittima e intercettati anche sfruttando falle nei protocolli di telefonia per la trasmissione dei messaggi. Alternative all’autenticazione a due fattori sono le app di autenticazione (es. Microsoft Authenticator o Google Authenticator) e Strumenti di autenticazione hardware come i token FIDO U2F.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.
