Se ha descubierto que el grupo de piratas informáticos, llamado APT20, vinculado al Estado chino, ha eludido la seguridad de la autenticación de dos factores (2FA), en una serie de ataques dirigidos contra organizaciones gubernamentales y proveedores de servicios gestionados.
APT20 es un grupo controlado por el gobierno chino, que se ha dirigido a varias universidades, así como a empresas sanitarias, militares y de telecomunicaciones entre 2011 y 2014. El grupo estuvo inactivo durante varios años, y modificó su modo de operación, antes de resurgir de nuevo en 2017.
En los últimos dos años, APT20 ha lanzado ataques contra varias entidades gubernamentales y proveedores de servicios gestionados que operan en campos como las finanzas, la salud, la aviación, la energía, los seguros e incluso los juegos de azar.
Los investigadores de Fox-IT, descubrieron las últimas actividades de hacking de APT20, en 2018, mientras analizaban los sistemas informáticos de una organización que había sido comprometida por algún grupo de piratas informáticos.
Los primeros hallazgos permitieron a los investigadores descubrir docenas de ataques similares que parecían haber sido llevados a cabo por el mismo grupo en España, Brasil, México y otros países.
Según los expertos de la compañía holandesa, la APT20 solía entrar en los sistemas de una organización explotando una vulnerabilidad en los servidores web. De este modo, se infiltraban más profundamente en la red de la organización para encontrar individuos con acceso privilegiado a las partes más críticas de la red.
Luego colocaban registradores de teclado en la máquina de los administradores de sistemas para registrar las pulsaciones de teclado y robar las contraseñas.
En una ocasión, el grupo pudo conectarse a cuentas VPN protegidas por 2FA. El equipo de Fox-IT cree que APT20 probablemente robó un token de software RSA SecurID de un sistema pirateado, y lo utilizó en sus propios ordenadores para generar códigos válidos de una sola vez. Esto les permitió eludir 2FA a voluntad.
“El token de software se genera para un sistema específico, pero por supuesto este valor específico del sistema podría ser fácilmente recuperado por el actor al tener acceso al sistema de la víctima”, explicaron los investigadores.
“Resulta que el actor no necesita realmente pasar por el problema de obtener el valor específico del sistema de la víctima, porque este valor específico sólo se comprueba al importar la semilla de token SecurID, y no tiene relación con la semilla utilizada para generar el token de 2 factores real”.
“Esto significa que el actor puede, en realidad, simplemente parchear la comprobación que verifica si el testigo virtual importado fue generado para este sistema, y no necesita molestarse en robar el valor específico del sistema en absoluto”.
El APT20 ha sido capaz de permanecer bajo el radar durante los dos últimos años a pesar de utilizar herramientas y técnicas relativamente sencillas.
Lo han conseguido utilizando herramientas legítimas que ya estaban instaladas en los dispositivos comprometidos. Los investigadores creen que si hubieran descargado su propio malware hecho a medida, podría haber sido detectado por el software de seguridad.
Con información de: ZD Net.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian