Fox-IT, eine niederländische Sicherheitsfirma, soll eine Hacker-Operation einer vermutlich staatlichen chinesischen Hackergruppe enttarnt haben, welche schon 2011 bei den sogenannten Nitro Attacks Unternehmen der Chemieindustrie angegriffen haben sollen. Nach zwei Jahren ohne sichtbare Angriffe soll die Gruppe mit einem anscheinend komplett neuen Vorgehen einen per Zwei-Faktor-Anmeldung gesicherten VPN-Zugang geknackt haben.

Bei einer Zwei-Faktor-Anmeldung (2FA) kommt es neben der Eingabe des Passworts zu einer zweiten Anmeldung über z.B. einen Hardware-Token oder einem Smartphone mit bestimmter Software. Diese Zwei-Faktor-Anmeldung ist immer dann unsicher, wenn der zweite Faktor kein echter zweiter Faktor ist, wenn beispielsweise die Banking-App und der TAN-Generator auf demselben Smartphone installiert ist.

Ähnlich ist es bei dem RSA SecurID Software Token (PDF). Dabei installiert der Anwender eine Software, die dann an sein Gerät gekoppelt wird und nur auf dieser Hardware benutzbar ist. Wenn die Hacker allerdings Admin-Rechte auf dem entsprechenden Gerät haben und die Software-Token-App einfach auf ihr System kopieren, könnten sie über die Admin-Rechte den Hardware-spezifischen Wert auslesen, den die SecurID-Software verwendet, um dann auf dem eigenen System die 2FA-Codes zu generieren, die sie zum Anmelden beim VPN benötigen.

Laut Fox-IT hat APT 20 es sich noch viel einfacher gemacht, indem sie diese lokale Software entsprechend so gepatcht haben, dass diese Prüfung immer bestanden wird. Die APT-20-Hacker kopierten die Software-Token-App demnach auf ihr eigenes System, manipulierten sie an der richtigen Stelle und generierten dann gültige 2FA-Token für das VPN auf fremder Hardware.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE