Beveiligingsonderzoekers van Fox-IT zeggen bewijs te hebben dat de Chinese hackgroep APT20 tweefactorauthenticatie (2FA) heeft weten te omzeilen. Dat zou zijn gebeurd in een recente golf van wereldwijde aanvallen, gericht op overheidsentiteiten en managed service providers (MSP’s).
De gehackte overheidsentiteiten en MSP’s zijn volgens de onderzoekers actief in sectoren als de luchtvaart, gezondheidszorg, financiën, verzekeringen en energie. Maar ook in niches als gokken en fysieke sloten, aldus ZDNet.
Een APT (Advanced Persistent Threat), onderdeel van de naam van de hackgroep, is een doelgerichte aanval waarbij een aanvaller langdurig toegang krijgt tot een netwerk.
Chinese steun
Fox-IT publiceerde afgelopen week nog het rapport Operation Wocao, waarin het Nederlandse securitybedrijf documenteert wat APT20 de afgelopen twee jaar heeft gedaan en hoe ze het hebben gedaan.
Het hacken door APT20 gaat terug tot 2011, maar in 2016-2017 verloren onderzoekers de hackgroep uit het oog. Aanleiding zou een verandering van de werkwijze van APT20 zijn. Er wordt al geruime tijd aangenomen dat de hackgroep in opdracht werkt van de Chinese regering in Beijing, alleen heeft men dat vooralsnog niet officieel kunnen hardmaken.
Gestolen RSA SecurID-softwaretoken
Volgens de onderzoekers hebben ze bewijs gevonden dat de hackers verbonden waren met VPN-accounts, die beschermd werden door 2FA. Hoewel het vooralsnog onduidelijk is hoe de hackers dit hebben gedaan, heeft Fox-IT hier wel een theorie over.
Zo zou APT20 een RSA SecurID-softwaretoken van een gehackt systeem hebben gestolen, dat de Chinese hackgroep vervolgens op zijn computers gebruikte om geldige, eenmalige codes te genereren en 2FA te omzeilen.
Deze handeling is normaal gesproken niet mogelijk. Om een van deze softwaretokens te gebruiken, moet de gebruiker een fysiek apparaat op zijn computer aansluiten, waarna het apparaat en de softwaretoken een geldige 2FA-code genereren. Als het apparaat ontbreekt, genereert de RSA SecureID-software een fout.
Systeemspecifieke token
Het team van Fox-IT heeft evenwel een theorie over hoe de hackers dat probleem hebben weten te omzeilen. In principe wordt het softwaretoken voor een specifiek systeem gegenereerd en heb je toegang tot dat systeem nodig om het token te bemachtigen. In praktijk blijkt dat evenwel niet noodzakelijk.
“Het blijkt dat de aanvaller niet echt de moeite hoeft te nemen om de systeemspecifieke waarde van het slachtoffer te verkrijgen, omdat deze specifieke waarde alleen wordt gecontroleerd bij het importeren van het SecurID Token Seed”, leggen de Fox-IT-onderzoekers uit. “Dit betekent dat de aanvaller de controle, waarmee wordt geverifieerd of het geïmporteerde softwaretoken voor dit systeem is gegenereerd, eenvoudigweg kan patchen, en helemaal geen moeite hoeft te doen om de systeemspecifieke waarde te stelen.”
Kort gezegd volstaat het dus dat een aanvaller een RSA SecurID Software Token steelt en één instructie patcht, om geldige 2FA-tokens te genereren.