Un gruppo di hacker cinesi è riuscito a bypassare l’autenticazione a due fattori per compiere i suoi attacchi. Tra i paesi colpiti anche l’Italia
I ricercatori di sicurezza di Fox-It hanno scoperto che un gruppo di hacker collegato al governo cinese è riuscito a bypassare il meccanismo di sicurezza dell’autenticazione a due fattori (2Fa).
La 2Fa è una funzione di protezione progettata per assicurare che un solo utente possa accedere al proprio account anche nel caso la password venga scoperta da qualcun altro. Con l’autenticazione a due fattori è necessario confermare l’accesso inserendo, da un dispositivo registrato, un codice d’accesso generato volta per volta.
All’interno dell’operazione Wocao, Fox-It ha identificato l’azione di cyber-spionaggio del gruppo di hacker cinesi identificati come Apt20 ai danni di enti governativi, fornitori di servizi nel campo dell’aviazione, assistenza sanitaria, finanza, assicurazioni, energia e anche in settori come il gioco d’azzardo e le serrature elettroniche, di dieci paesi tra cui anche l’Italia.
Il gruppo di hacker, al soldo del governo di Pechino, avrebbe sfruttato le vulnerabilità di JBoss, un’applicazione server open source scritto in Java molto sfruttato dalle grandi imprese e da alcune reti governative, infiltrandosi nei sistemi interni delle vittime.
Una volta all’interno dei sistemi gli hacker si sono impadroniti dei dump delle password, riuscendo poi a individuare l’account amministratore e a ottenere le credenziali per le Vpn, in modo da accedere alle aree più sicure dell’infrastruttura o a sfruttare gli account Vpn come backdoor più stabile.
Per sfruttare queste Vpn gli hacker sono riusciti a bypassare l’autenticazione a due fattori che proteggeva gli account violati. Sebbene non sia chiaro il metodo con il quale sono riusciti a scavalcare il meccanismo di protezione 2Fa, Fox-It ipotizza che Apt20 sia riuscito a impadronirsi dei token Rsa SecuId hackerando i sistemi che di norma funzionano collegando fisicamente un dispositivo hardware al computer.
Solitamente, se manca il dispositivo hardware che agisce assieme al software Rsa Secure Id, quest’ultimo genera un errore e il token d’accesso non viene creato. Gli hacker, pertanto, sono riusciti in qualche modo a evitare questo meccanismo intercettando i codici per l’autenticazione a due fattori.
Il sistema di sicurezza dell’autenticazione a due fattori è stato, finora, sempre ritenuto impenetrabile e a prova di violazione ma a quanto pare anche questo sistema ha le sue vulnerabilità.
Wired consiglia, come valide alternative all’autenticazione a due fattori l’uso di applicazione di autenticazione come Microsoft Authenticator o Google Authenticator.
Leggi anche
