Китайская кибергруппировка APT20 в последних атаках успешно обходит 2FA

Китайская кибергруппировка APT20 в последних атаках успешно обходит 2FA

Китайская кибершпионская группа APT20 в ходе последних атак использует технику обхода двухфакторной аутентификации (2FA). Об этом сообщили эксперты компании Fox-IT, проанализировавшие недавние операции преступников.

Основная часть атак направлена на государственные организации и провайдеров управляемых услуг в самых разных сферах: авиация, здравоохранение, а также финансовая, страховая и энергетическая сферы.

Группировка APT20 ведёт свою активность как минимум с 2011 года. Последние кампании китайских киберпреступников получили имя Operation Wocao.

«Мы придумали имя Operation Wocao для обозначения ключевых киберпреступных операций, за которыми стоит данная группа китайских хакеров», — объясняет команда Fox-IT.

«В некоторых случаях злоумышленники проникали в сети жертв благодаря уязвимому серверу (зачастую это были версии JBoss). Как правило, если сервер уязвим, на нем непременно присутствуют веб-шеллы, установленные теми или иными кибергруппировками. APT20 использует эти шеллы для разведки и продвижения по сети».

Получив доступ к скомпрометированной системе, группировка пытается извлечь учётные данные из памяти или добраться до установленных менеджеров паролей.

Как отметили в Fox-IT, группа APT20 смогла получить контроль над VPN-аккаунтами, защищёнными 2FA, — для этого, судя по всему, хакеры использовали специальную технику обхода этой меры защиты.

Специалисты полагают, что участники группы похитили токены SecurID RSA, хранившиеся в скомпрометированных системах. После этого злоумышленники использовали эти токены для генерации рабочих одноразовых кодов аутентификации, которые успешно обходили 2FA.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Times: Великобритания и США ищут альтернативы системе GPS из-за России

Лондон и Вашингтон изучают возможность создания новой системы навигации. Как пишет The Times, она может вырасти на базе британской OneWeb и американской NextNav. Среди сценариев есть варианты без спутников.

Замена GPS необходима из-за «возможных угроз со стороны РФ», пишет The Times, ссылаясь на слова замминистра обороны Великобритании Джереми Куина. Он утверждает, что российская сторона «уже предпринимала активные попытки глушения сигнала спутниковой системы с начала спецоперации на Украине».

Резкое прекращение работы GPS может вывести из строя мобильные телефоны, системы энергоснабжения и банковский сектор.

«Обе стороны используют целый ряд возможностей. Нам нужно извлечь из этого уроки и продолжить работу над собственными инновациями в этой сфере», — цитирует The Times слова британского военного.

В переговорах звучат варианты создания системы, которая использует сигнал наземных станций, без помощи спутников. Её планируют развернуть в Лондоне и Манчестере.

«Мы сотрудничаем с федеральным правительством США, чтобы попытаться создать систему, которая сможет заменить GPS. Это связано с угрозой, которой подвергается GPS со стороны России и других государств», — заявил глава NextNav Ганеш Паттабираман.

После начала военной операции на Украине OneWeb отказалась сотрудничать с «Роскосмосом», который ранее запускал её спутники. В марте британцы ушли к Илону Маску в SpaceX. Тогда же глава «Роскосмоса» Дмитрий Рогозин заявил, что США могут санкциями отключить Россию от GPS.

Напомним, навигационная система GPS разрабатывалась Министерством обороны США, но используется и в гражданских целях.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru