Un gruppo di hacker presumibilmente legato al governo cinese è accusato di aver violato reti e computer in tutto il mondo. La grande differenza, questa volta, è che sono stati in grado di bypassare facilmente l’autenticazione a due fattori nel processo.
L’attacco è stato dettagliato dai ricercatori sulla sicurezza di Fox-IT Holding. Nei loro raid, il gruppo è accusato di cercare le password degli account amministratore per ottenere maggiori informazioni dai loro obiettivi.
Ma ciò che colpisce questa volta è che gli esperti di sicurezza affermano di aver trovato prove del fatto che il gruppo abbia ottenuto l’accesso agli account protetti dal secondo fattore di autenticazione (2FA). L’hacking di 2FA non è nuovo e il processo in questione è un po’ complicato, ma sembra che il gruppo di hacking cinese abbia trovato un nuovo modo di aggirare il muro della sicurezza.
Un furto a regola d’arte
Si ritiene che gli hacker abbiano rubato un token software RSA SecurID da un sistema compromesso e modificato la chiave per funzionare su sistemi diversi. “Il token software viene generato per un sistema specifico, ma ovviamente questo valore specifico del sistema può essere facilmente recuperato dall’attore ottenendo l’accesso al sistema della vittima“, hanno spiegato i ricercatori della sicurezza.
“In realtà, l’attore non deve sforzarsi di ottenere il valore specifico dal sistema della vittima, perché quel valore specifico viene verificato solo durante l’importazione del seme token SecurID. Ciò significa che l’attore può semplicemente correggere la verifica, che verifica se il token programmabile importato è stato generato per questo sistema e non deve preoccuparsi di rubare il valore specifico del sistema“.
Mentre il problema si applica specificamente ai token basati su software, il metodo è preoccupante, soprattutto perché 2FA viene regolarmente mantenuto come uno dei modi più sicuri per prevenire attacchi e intrusioni come queste.
