Исследователи по безопасности обнаружили, что в недавней серии атак хакерская группа, связанная с правительством Китая, сумела обойти двухфакторную аутентификацию (2FA — two-factor authentication). В нападениях обвиняют группировку, известную как APT20, которая, как полагают специалисты голландской фирмы по кибербезопасности Fox-IT, действует по указу Пекина.
В отчете Fox-IT говорится, что хакерская группа начала свою деятельность в 2011 году, после чего исследователи по безопасности потеряли ее след. Однако в 2018 году они снова обнаружили признаки незаконной деятельности хакеров. Так, в отчете Fox-IT сообщается, чем занималась группа последние два года. Эксперты напрямую не обвиняют хакеров в сотрудничестве с правительством КНР. Это лишь предположения и догадки. Прямых доказательств этого факта нет.
В частности, основное внимание уделялось Jboss, платформе корпоративных приложений, которую обычно используют члены правительства. APT20 использовала уязвимости для проникновения на серверы, взламывая веб-оболочки.
По заявлению Fox-IT, ее специалистам удалось найти доказательства того, что китайская хакерская группировка АРТ20 получила доступ к учетным записям VPN, защищенных двухфакторной авторизацией. Как им удалось это сделать, остается неясным. В теории, хакеры похитили программный токен RSA SecurID, который впоследствии позволил создавать одноразовые коды для обхода защиты.
Основными целями киберпреступников были поставщики управляемых услуг (MSP) и государственные органы. Не меньший энтузиазм они проявляли в деле похищения интеллектуальной собственности в таких сферах как финансы, авиация, энергетика, здравоохранение и прочие.
