Hackers consiguen saltarse la verificación en 2 pasos en España

Iniciado por Dragora, Diciembre 24, 2019, 12:55:22 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



La verificación en dos pasos se ha convertido en uno de los métodos más usados para acceder de manera segura a nuestras cuentas. Ya sea por SMS, email o por aplicaciones como Google Authenticator, estas apps evitan que alguien con nuestro usuario y contraseña pueda acceder a una cuenta desde cualquier parte del mundo. Sin embargo, un grupo de hackers se lo ha saltado y todavía se está intentando entender cómo.

APT20, el grupo de hackeo asociado al gobierno chino

Así lo ha afirmado la empresa de ciberseguridad holandesa Fox-IT, que ha encontrado evidencias de que el grupo de hackeo APT20, el cual se dice que trabaja para el gobierno de China, ha estado saltándose la verificación en dos pasos en una reciente oleada de ataques en China, Estados Unidos y Europa, incluyendo a España. La empresa holandesa afirma que hay decenas de empresas y gobiernos afectados.

Los principales objetivos han sido gobiernos, empresas estatales y servicios de administración de infraestructuras de empresas. Entre las empresas que tenían como objetivo se encontraban sectores como aviación, sanidad, finanzas, seguros y energía, e incluso había algunas relacionadas con las apuestas y con la fabricación de llaves.



APT20 lleva operando al menos desde 2011, pero en a principios de 2017 se les perdió la pista cuando cambiaron su modus operandi. Por suerte, Fox-IT les ha cazado y ha registrado lo que han estado haciendo en los últimos dos años en un artículo que han bautizado como Operación Wocao.

Para ello, usaban servidores web como punto de entrada inicial a los sistemas de un objetivo, centrándose sobre todo en JBoss, una plataforma usada mucho en redes de grandes empresas y de gobiernos. Para tener acceso, se aprovechaban de vulnerabilidades sin parchear. Luego, instalaban malware en el dispositivo y ya iban moviéndose por dentro de la red. Lo primero que buscaban eran credenciales de administradores, así como acceso a cuentas de VPN que hubiera activas.

El grupo ha estado operando en secreto durante dos años sin ser detectado gracias a que usaban herramientas legítimas ya instaladas en los ordenadores en lugar de instalar un malware, lo cual haría que fueran detectados con facilidad.

Operación Wocao: la divertidad reacción de los hackers cuando los pillaron

Así, el grupo ha conseguido sus objetivos: han tomado el control de cuentas de VPN protegidas por verificación en dos pasos. Fox-IT no sabe cómo lo han hecho, pero tienen una teoría: que APT20 robase el token RSA SecurID de un ordenador hackeado que luego usaron en sus propios ordenadores para generar los códigos de validación y saltarse el proceso.





Normalmente esto no suele ser posible, ya que se suele necesitar conectarse físicamente a un ordenador, siendo el código generado diferente si se usa la misma clave en otro ordenador. Sin embargo, Fox-IT cree que los hackers directamente obtenían el código de los ordenadores hackeados porque tenían el control total sobre ellos. Además, en el caso de obtener el token para generar las claves, simplemente pueden parchear el sistema de verificación del token para engañarlo y hacerle creer que éste fue generado para el ordenador original aunque se genere en otro ordenador.

Fox-IT empezó a investigar los ataques porque una empresa hackeada por el grupo les contactó para que les ayudasen a identificar el ataque y poder protegerse.

El nombre de la operación, Wocao, viene de la palabra china «wocao» que significa «mierda» o «joder». Esta palabra fue lo último que escribieron los hackers tras intentar ejecutar varios comandos en Windows. Pero ya era demasiado tarde, ya que su presencia había sido detectada y ya habían sido expulsados de la red. Así, por puro enfado, escribieron «wocao».



Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta