Des chercheurs en sécurité affirment avoir la preuve qu’un groupe de hackers chinois a réussi à contourner la sécurité à double-authentification (2FA) lors d’une récente vague d’attaques.
Ces attaques sont attribuées au groupe APT20, traqué par l’industrie de la cybersécurité, et qui opérerait sur ordre du gouvernement chinois. C’est ce qu’affirme la société néerlandaise de cybersécurité Fox-IT dans un rapport publié la semaine dernière.
Les principales cibles du groupe étaient des entités gouvernementales et des fournisseurs de services dans des domaines tels que l’aviation, la santé, la finance, l’assurance, l’énergie, ainsi que des niches comme les paris et les sociétés de serrures.
publicité
L’activité de APT20 ces dernières années
Le rapport de Fox-IT comble une lacune dans l’histoire du groupe. En effet, les premiers piratages de APT20 remontent à 2011, mais on perd la trace du groupe entre 2016 et 2017, alors qu’il change de mode opératoire. Fox-IT rapporte ce que le groupe a fait au cours des deux dernières années, et comment il s’y est pris.
Selon l’entreprise néerlandaise, les hackers se sont servis de serveurs web comme point d’accès dans le système de leur cible, en particulier Jboss, une plateforme d’applications professionnelle souvent utilisé par les réseaux gouvernementaux et d’entreprise. APT20 a exploité des failles pour accéder aux serveurs, puis installé des web shells, pour ensuite se propager latéralement dans le système interne de la cible. Une fois entré, Fox-IT explique que le groupe a recuperé des mots de passe accessibles sur le système et cherché des comptes administrateurs, afin de maximiser les chances d’accès. L’un des principaux objectifs du groupe était de récupérer les identifiants VPN. Ainsi, les hackers pouvaient accéder aux zones sécurisées de l’infrastructure, ou utiliser un VPN pour y accéder de manière plus stable.
Malgré une forte activité ces deux dernières années, Fox-IT explique que le groupe a réussi, dans l’ensemble, « à rester en dehors des radars ». Pour ça, ils ont utilisé des outils officiels, installés auparavant sur les machines piratées, plutôt que d’utiliser un malware de leur propre construction qui aurait pu être détecté par les logiciels de sécurité.
APT20 contourne l’authentification à deux facteurs
Mais ce qui ressort surtout de ces attaques, c’est que les analystes de Fox-IT affirment avoir trouvé des preuves que les pirates ont pu se connecter à des compte VPN protégés par une sécurité à deux facteurs.
Le mode opératoire reste incertain, mais l’équipe de Fox-IT a sa théorie. Elle pense que APT20 a réussi à voler un jeton logiciel RSA SecurID depuis un système piraté, et l’a ensuite utilisé sur ses appareils pour générer des codes à validité unique et ainsi outrepasser la sécurité à deux facteurs à volonté.
Pourtant, il est normalement impossible de procéder ainsi. Pour pouvoir utiliser ces jetons, l’utilisateur doit connecter physiquement l’appareil (matériel) à son ordinateur. L’appareil et le logiciel génèrent alors un code 2FA valide. En cas de périphérique manquant, le logiciel RSA SecurID affiche une erreur.
D’après Fox-IT, voilà comment les hackers ont contourné le problème :
« Le jeton est généré pour des variables spécifiques du système, mais évidemment ces variables peuvent être récupérées par l’auteur de l’attaque quand il a accès au système de la victime. »
Le pirate n’a en fait pas forcément besoin de récupérer toutes les variables spécifiques au système de la victime, car ces variables ne sont utilisées que lors de l’importation de la racine (Seed) du jeton SecurID, et ne sont pas liées à la racine utilisée pour générer les jetons d’authentification à deux facteurs. Il peut alors simplement modifier le contrôle qui vérifie si le jeton SecurID a été généré pour ce système, et n’a pas besoin de récupérer toutes les variables du système.
Pour résumer, l’auteur de l’attaque a simplement besoin de voler un jeton du logiciel RSA SecurID et de patcher une instruction pour pouvoir générer des jetons valides. »
WOCAO
Fox-IT explique que l’enquête sur les attaques du groupe APT20 a démarré à la suite d’un appel d’une des entreprises victimes, qui leur demandait de les aider en enquêtant sur ces piratages.
On trouve plus d’informations sur ces attaques dans le rapport “Opération Wocao”. La société néerlandaise explique que le nom du rapport provient d’une réponse des pirates chinois, après qu’ils aient été repérés et éjectés du réseau d’une de leur victime. Comme vous pouvez le voir ci-dessous, APT20 essaye de se connecter à un web shell (supprimé) qu’ils ont installé sur le réseau d’une victime. Les pirates essayent d’exécuter plusieurs commandes Windows et, quand ça ne fonctionne pas, ils comprennent qu’ils ont été repérés et expulsés du réseau. Ils tapent alors une dernière commande par frustration – “wocao”, un mot d’argot chinois qu’on pourrait traduire par “putain”.
Source : ZDNet.com
Commentaires