Fox-IT,
eine niederländische Sicherheitsfirma, soll eine Hacker-Operation
einer vermutlich staatlichen chinesischen Hackergruppe enttarnt
haben, welche schon 2011 bei den sogenannten Nitro Attacks Unternehmen
der Chemieindustrie angegriffen haben sollen. Nach zwei Jahren ohne
sichtbare Angriffe soll die Gruppe mit einem anscheinend komplett
neuen Vorgehen einen per Zwei-Faktor-Anmeldung gesicherten VPN-Zugang
geknackt haben.
Bei einer Zwei-Faktor-Anmeldung
(2FA) kommt es neben der Eingabe des Passworts zu einer zweiten
Anmeldung über z.B. einen Hardware-Token oder einem Smartphone
mit bestimmter Software. Diese Zwei-Faktor-Anmeldung ist immer dann
unsicher, wenn der zweite Faktor kein echter zweiter Faktor ist,
wenn beispielsweise die Banking-App und der TAN-Generator auf demselben
Smartphone installiert ist.
Ähnlich ist es bei dem RSA
SecurID Software Token (PDF). Dabei installiert der Anwender
eine Software, die dann an sein Gerät gekoppelt wird und nur
auf dieser Hardware benutzbar ist. Wenn die Hacker allerdings Admin-Rechte
auf dem entsprechenden Gerät haben und die Software-Token-App
einfach auf ihr System kopieren, könnten sie über die
Admin-Rechte den Hardware-spezifischen Wert auslesen, den die SecurID-Software
verwendet, um dann auf dem eigenen System die 2FA-Codes zu generieren,
die sie zum Anmelden beim VPN benötigen.
Laut Fox-IT hat APT 20 es sich noch viel einfacher gemacht, indem
sie diese lokale Software entsprechend so gepatcht haben, dass diese
Prüfung immer bestanden wird. Die APT-20-Hacker kopierten die
Software-Token-App demnach auf ihr eigenes System, manipulierten
sie an der richtigen Stelle und generierten dann gültige 2FA-Token
für das VPN auf fremder Hardware.
(ts, hannover)
(siehe auch: Heise-News-Ticker)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|