DES CHERCHEURS ONT DÉCOUVERT UN GROUPE DE HACKERS CHINOIS CONTOURNANT L’AUTHENTIFICATION À DOUBLE FACTEUR

Posté le décembre 23, 2019 à 16:00

DES CHERCHEURS ONT DÉCOUVERT UN GROUPE DE HACKERS CHINOIS CONTOURNANT L’AUTHENTIFICATION À DOUBLE FACTEUR

APT20, le groupe de hackers parrainé par l’État chinois, est de retour. Le groupe a été surpris à pirater des fournisseurs de services et des institutions gouvernementales, selon des chercheurs en sécurité. On a d’abord cru que ce groupe de hackers avait disparu.  Mais dernièrement, ils ont refait surface récemment et ont déjà commencé à faire des ravages dans les institutions et les entités.

Les chercheurs en sécurité ont rapporté leurs activités sur le contournement de l’authentification à deux facteurs pour infiltrer l’entrepôt de données de leur victime. Fox-IT, un groupe de cybersécurité néerlandais, a rapporté que ce  groupe de hackers est parrainé par le gouvernement chinois pour obtenir des informations critiques des institutions privées et gouvernementales.

Cependant, il semble que les principales cibles du groupe soient les Managed Service Providers (MSP) ou Infogérance et les institutions gouvernementales. Ces institutions ciblées sont des acteurs importants dans différents secteurs, notamment l’énergie, l’assurance, la finance, les soins de santé et l’aviation. Le groupe cible également d’autres institutions dans des industries de niche plus petites, comme dans les serrures physiques et l’industrie des jeux de hasard.

Les activités récentes de l’APT20

 Fox-IT suit les activités de ce groupe de hackers depuis 2011 lors de leur première découverte. Mais ils sont passés sous le radar en 2017, et beaucoup pensaient qu’ils avaient arrêté leurs opérations. Cependant, il s’est avéré qu’ils ne changeaient que leur fonctionnement, ce qui les rendait difficiles à suivre.

Fox-IT a fourni des rapports sur les activités du groupe depuis qu’elles étaient censées passer sous le radar. Selon Fox-IT, le groupe de hackers utilise des serveurs pour infiltrer le système de leur victime. Le serveur Web cible JBoss est un système d’entreprise que l’on trouve généralement dans les réseaux gouvernementaux et les grandes entreprises.

Les réseaux cibles des pirates sont vulnérables, installent leurs boucliers Web et se multiplient dans les systèmes internes de leurs victimes.

APT20 a un mode de fonctionnement distinct différent des autres groupes de hackers, selon les chercheurs. Ils ne recherchent pas de mot de passe lorsqu’ils s’infiltrent dans un système. Au lieu de cela, ils se concentrent sur les comptes d’administrateur pour accéder plus à un large éventail de données et de fichiers importants.

Leurs principaux objectifs étaient de sécuriser les informations d’identification VPN pour évoluer facilement dans les zones les plus sécurisées et les plus importantes de la section administrateur. Ils utilisent parfois un accès VPN pour créer des portes dérobées plus sécurisées.

Comment les hackers ont pu rester indetectés

Les chercheurs ont déclaré que bien que les hackers aient réussi à rester relativement actifs au cours des deux dernières années, ils ont réussi à rester indétectables, pas jusqu’à récemment. Fox-IT a expliqué les raisons pour lesquelles ils ont pu rester cachés pendant longtemps.

Les hackers ne se servaient pas de leurs propres outils de piratage.  Ils se sont plutôt camouflés avec des outils de piratage déjà existants, développés par d’autres hackers. De cette façon, une attaque ne serait pas attribuée à eux mais aux créateurs de l’outil qu’ils ont utilisé.  S’ils avaient utilisé leurs outils de piratage, le logiciel de sécurité local aurait dû les détecter, a déclaré Fox-IT.

Connexion à des comptes VPN protégés par une 2FA

Malgré tout ce que le groupe de hackers a fait, le plus alarmant était le fait qu’ils ont pu se connecter à des comptes VPN protégés par l’authentification à double facteur. On ne sait toujours pas comment ils ont pu réussir un tel coup, mais les chercheurs de Fox-IT raisonnent sur une théorie.

Selon les chercheurs, les hackers auraient pu voler un logiciel sécurisé RSA  qui a été infiltré par d’autres hackers. À partir du logiciel, les hackers ont pu générer un mot de passe unique valide pour contourner facilement la protection de l’authentification 2FA.

Dans des conditions normales, il est très peu probable d’avoir accès via ce support, car il nécessite une connexion physique avec un matériel physique à l’ordinateur hôte. Le jeton logiciel et le périphérique de connexion doivent tous deux se connecter physiquement. Sinon, ce dernier commencerait à générer des erreurs. Mais les hackers très avancés ont tout de même trouvé un moyen de s’en sortir en utilisant le jeton RSA SecurID et en appliquant une instruction de contournement au périphérique de connexion.

Fox-IT enquête toujours sur les activités du groupe. Les chercheurs ont déclaré qu’ils s’intéressaient à l’enquête après avoir été interrogés par l’une des institutions piratées. FoX-IT a déclaré qu’il poursuivrait son désir d’enquêter et de s’informer sur toutes les activités du syndicat chinois du piratage.

Summary
DES CHERCHEURS ONT DÉCOUVERT UN GROUPE DE HACKERS CHINOIS CONTOURNANT L'AUTHENTIFICATION À DOUBLE FACTEUR
Article Name
DES CHERCHEURS ONT DÉCOUVERT UN GROUPE DE HACKERS CHINOIS CONTOURNANT L'AUTHENTIFICATION À DOUBLE FACTEUR
Description
APT20, le groupe de hackers parrainé par l'État chinois, est de retour. Le groupe a été surpris à pirater des fournisseurs de services et des institutions gouvernementales, selon des chercheurs en sécurité. On a d'abord cru que ce groupe de hackers avait disparu. Mais dernièrement, ils ont refait surface récemment et ont déjà commencé à faire des ravages dans les institutions et les entités.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading