Un informe de la firma holandesa de seguridad cibernética, Fox-IT, encontró evidencia de que un grupo de piratería vinculado al gobierno chino ha pasado por alto la autenticación de dos factores (2FA) en una ola de ataques cibernéticos.
Al parecer los objetivos principales del grupo eran entidades gubernamentales y proveedores de servicios gestionados (MSP) que estaban activos en campos como la aviación, atención médica, finanzas, seguros, energía e incluso, las cerraduras físicas.
Estos ataques se atribuyeron a un grupo que la industria de la seguridad cibernética está rastreando como APT20, que se cree que opera a instancias del gobierno de Beijing, según confirmó la firma en su informe publicado la semana pasada.
El escrito especifica que el ataque de APT20 se remonta a 2011, pero los investigadores perdieron el rastro de las operaciones del grupo en 2016-2017, cuando cambiaron su modo de operación.
Según los investigadores, los hackers utilizaron servidores web como punto de entrada inicial a los sistemas de un objetivo, con un enfoque particular en JBoss, una plataforma de aplicaciones empresariales que a menudo se encuentra en grandes redes corporativas y gubernamentales.
APT20 utilizó vulnerabilidades para obtener acceso a estos servidores, instalar shells web y luego propagarse lateralmente por medio de los sistemas internos de las víctimas.
Mientras Fox-IT realizaba sus investigaciones, encontró que el grupo arrojó contraseñas y buscó cuentas de administrador, para maximizar su acceso. Una preocupación principal era obtener las credenciales de VPN, para que los piratas informáticos pudieran escalar el acceso a áreas más seguras de la infraestructura de la víctima, o utilizar las cuentas de VPN como puertas traseras más estables.
Fox-IT dijo que a pesar de lo que parece ser una actividad de piratería muy prodigiosa en los últimos dos años, “en general, el actor ha podido permanecer fuera del radar”.
Esto gracias al uso de herramientas legítimas que ya estaban instaladas en dispositivos pirateados, en lugar de descargar su propio malware personalizado, que podría haber sido detectado por el software de seguridad local.
Sin embargo, lo más notable fue que
se encontró evidencia de que los hackers se conectaron a cuentas VPN protegidas por 2FA.
Aunque no está claro cómo lograron eso, el equipo de investigadores propuso su teoría. Afirmaron que APT20 robó un token de software RSA SecurID de un sistema hackeado, que el actor chino usó en sus computadoras para generar códigos válidos de un solo uso y omitir 2FA a voluntad.
Normalmente esto no sería posible. Para utilizar uno de estos tokens de software, el usuario necesita conectar un dispositivo físico a su computadora. El dispositivo y el token de software generan un código 2FA válido. Si falta el dispositivo, el software RSA SecurID generaría un error.
NotiVeraz