Um grupo chinês de hackers que acredita-se operar em nome do governo de Pequim descobriu como burlar a autenticação de dois fatores (2FA) em ataques a alvos do governo e da indústria, informouZDNet na segunda-feira (23).

O grupo, conhecido como APT20, teria tentado comprometer as credenciais de VPN que lhes concederiam maiores níveis de acesso nas redes de suas vítimas, de acordo com o ZDNet, que citou um novo relatório da empresa holandesa de segurança cibernética Fox-IT.

Embora contornar o 2FA não seja inédito, a sofisticação necessária por parte do agressor significa que esses ataques são relativamente raros. Não está totalmente claro como o APT20 conseguiu. No entanto, o ZDNet relatou uma teoria:

Eles disseram que o APT20 roubou um token de software RSA SecurID de um sistema invadido, que o hacker chinês usou em seus computadores para gerar códigos únicos válidos e contornar o 2FA.

Normalmente, isso não seria possível. Para usar um desses tokens de software, o usuário precisaria conectar um dispositivo físico (hardware) ao computador. O dispositivo e o token do software gerariam um código 2FA válido. Se o dispositivo estivesse ausente, o software RSA SecureID geraria um erro.

A Fox-IT disse que o APT20 provavelmente desenvolveu a própria técnica de desvio. O grupo conseguiu, em grande parte, ficar fora do radar, contando com canais “legítimos”, como acesso à VPN, para realizar seus ataques.

“Identificamos vítimas desse ator em 10 países, em entidades governamentais, provedores de serviços gerenciados e em uma ampla variedade de indústrias, incluindo energia, assistência médica e alta tecnologia”, afirma o relatório. Os alvos supostamente residem em quase uma dúzia de países, incluindo Brasil, China, França, Alemanha, Itália, México, Portugal, Espanha, Reino Unido e Estados Unidos.

Depois que o acesso inicial é adquirido, o grupo se move lateralmente implantando backdoors personalizados em vários servidores, disseram os pesquisadores. A partir daí, ele inicia o processo de coleta dos dados confidenciais que procura, senão credenciais adicionais para ajudar a elevar seu acesso. Quando o grupo termina, ele geralmente exclui suas ferramentas e os arquivos compactados criados para extração, impedindo investigações forenses.

Você pode ler o relatório completo da Fox-IT (em inglês) aqui.