Kumpulan penggodam ini didakwa mempunyai kaitan dengan pemerintah Beijing.

Penyelidik keselamatan dari Fox-IT Holding telah melaporkan terhadap penemuan mereka yang mendapati kumpulan penggodam dari China yang mampu menggodam mangsa mereka dengan melepasi ciri keselamatan pengesahan 2 faktor.

Kumpulan penggodam yang dikenali sebagai APT20 didakwa mensasarkan firma servis pelayan laman sesawang sebagai mangsa mereka. Malah mereka juga dikaitkan dengan aktiviti serangan terhadap entiti kerajaan serta pembekal perkhidmatan terurus bagi sektor kesihatan, penerbangan, kewangan dan lain-lain.

Penyelidik mendakwa mereka menemui bukti penggodam APT20 mampu mengakses akaun VPN yang dilindungi oleh ciri keselamatan pengesahan 2 faktor atau singkatannya 2FA.

Sebenarnya, penggodaman menerusi 2FA bukanlah perkara baru tapi yang menarik perhatian adalah APT20 didakwa mempunyai cara baru bagi menggodam 2FA.

IKLAN

Penyelidik menjelaskan, APT20 menggodam 2FA dengan mencuri token perisian RSA SecureID dari sistem. Seterusnya mereka akan melakukan modifikasi bagi membolehkan ia berfungsi pada sistem yang berbeza.

Kredit imej: Fox-IT

The software token is generated for a specific system, but of course this system specific value could easily be retrieved by the actor when having access to the system of the victim. As it turns out, the actor does not actually need to go through the trouble of obtaining the victim’s system-specific value, because this specific value is only checked when importing the SecurID Token Seed, and has no relation to the seed used to generate actual 2-factor tokens. This means the actor can actually simply patch the check which verifies if the imported soft token was generated for this system, and does not need to bother with stealing the system-specific value at all.” Fox-IT.

Apabila berjaya menggodam mangsa mereka menerusi 2FA, kumpulan penggodam ini akan memasang pelindung bagi melindungi aktiviti mereka diseluruh rangkaian. Seterusnya mencuri kata laluan dan mengakses data mangsa menerusi talian yang selamat diakses mereka, tanpa disedari mangsa.

Teknik penggodaman ini amat membimbangkan kerana tujuan RSA SecureID diwujudkan adalah bagi mengelakkan dari berlakunya isu sebegini.

Fox-IT memberitahu, mereka menemui teknik penggodaman ini apabila sebuah firma meminta mereka menyiasat sistem mereka yang dipercayai telah digodam.

Sumber: ZDNet