گروهی از هکرهای چینی روش جدیدی برای دور زدن احراز هویت دو مرحلهای یافتند
گروهی از هکرهای چینی که گفته میشود با دولت این کشور هم متصل هستند؛ مدعی شدند در پروسهای پیچیده میتوانند سیستمهای احرازهویت دو عاملی را دور زده و در نتیجه امنیت آنها را زیر سوال ببرند.
این هک گفته گذشته توسط محققان امنیتی موسسه Fox-IT Holding B.V تشریح شده است. گروه هکری APT20 در ابتدا، وب سرورها را برای شروع انتخاب کرده و به طور خاص روی وب اپلیکیشن Jboss تمرکز کردند.
روش کار این هکرها اینگونه است که ابتدا به طور قانونی یک شل وب سرور را نصب میکنند و بعد در سراسر شبکه توزیع میشوند. این رفتار قانونی و عادی به نظر میرسد ولی در این خلال سعی میکنند رمزعبور و اکانتهای مدیر شبکه را برای کسب اطلاعات بیشتر به دست بیاورند تا ابزارهای مجازی اعتباردهی شبکه را هدف قرار دهند.
جالبی این روش هک در اینجا است که محققان مدعی هستند شواهدی پیدا کردند که حسابهای VPN محافظت شده توسط سیستمهای امنیتی دو مرحلهای (2FA) را شکسته و به اطلاعات آنها دسترسی پیدا کردند.
هک 2FA کار جدیدی نیست و غالبا پروسه دور زدن آن بسیار پیچیده و سنگین است ولی هکرهای APT20 میگویند روش جدیدی برای این هک پیدا کردند.
تهدیدی که جدی است
اعتقاد بر این است که هکرهای چینی یک نرمافزار توکن RSA SecurID را از روی یک سیستم هک شدن به سرقت برده و بعد کلیدهای تعریف شده برای سیستمهای مختلف را تغیییر دادند.
محققان امنیتی میگویند این نرمافزار برای سیستمهای خاص تولید میشود ولی قطعا ارزش تولید شده برای هر سیستم که منحصربهفرد است؛ قابل بازیابی هم هست. در حقیقت، هکرها به ارزش مقادیر سیستم احرازهویت دو مرحلهای دسترسی پیدا نمیکنند بلکه سیستم تاییدیه را مجاب کرده که این مغادیر درست وارد شده و آنها را تایید کند.
تا کنون، سیستمهای دو مرحلهای به عنوان مستحکمترین جایگزین برای رمزعبورها معرفی شدند و در حال حاضر، بسیاری از فرآیندهای امنیتی مبتنی بر آنها هستند ولی هکرهای چینی نشان دادند این سیستمها هم تحت شرایطی قابل دور زدن و قریب خوردن هستند.
اگرچه روشی که این هکرها استفاده کردند؛ نمیتواند عمومیت پیدا کند و کاربران عادی تهدید شوند ولی خطری جدی برای سیستمهای بزرگ و خدمات مبتنی بر احرازهویت دو مرحلهای است.
سلام
من شخصا با خوندن این پست نتوستم از روشی که این هکرها در پیش گرفتن درکی داشته باشم ،هیچ عمق فنی نداره ،نوشته این پست مثل پست های تلگرامی میمونه
با عرض سلام
با تمام ارادتی که دارم باید بگم که ترجمه عجولانه انجام گرفته و اطلاعات مفید داخل پست نیست
وقتی کسی پسورد ادمین رو داره هک ۲FA یا هر کار دیگه قابل انجامه
اگر توضیحات کاملتر باشه میشه بحث کرد در موردش