Un gruppo di hacker cinesi è riuscito a violare i sistemi delle autorità statunitensi bypassando le protezioni con autenticazione a due fattori. Secondo la società di sicurezza informatica olandese Fox-IT, gli hacker non sono stati individuati dai sistemi compromessi perché sono stati in grado di sfruttare gli stessi strumenti di sicurezza.
- VPN, i provider principali aderiscono a un’iniziativa per la sicurezza
- Intel, quasi tutti i processori hanno una grave vulnerabilità nella sicurezza
- "Fiducia zero", le due parole più importanti nel 2019 nell'ambito della sicurezza
Sistema compromesso
Dopo un'indagine di due anni sui sistemi compromessi Fox-IT ha reso pubbliche tali informazioni in un report in cui la società ha illustrato le attività e i metodi degli hacker. L'attore chiave è stato identificato come il gruppo APT20, che si dice abbia lavorato sotto l'autorità del governo cinese per quasi dieci anni.
Il gruppo attacca le agenzie governative e i Managed Service Provider (MSP) sfruttando le vulnerabilità dei server per accedere alle reti. Da lì, è in grado di installare web shell per facilitare lo spostamento attraverso le reti IT, concentrandosi su piattaforme applicative aziendali. Gli hacker hanno inoltre preso di mira le workstation degli utenti con privilegi di amministratore, nonché le password.
La scoperta più sorprendente è stata che i protocolli di autenticazione a due fattori (2FA) dei sistemi vulnerabili sono stati bypassati; gli hacker sono riusciti infatti ad accedere tramite software al posto dei token.
Fox-IT riferisce che il modo più semplice per difendersi da tali attacchi è usare adeguatamente la segmentazione, oltre a sfruttare Enhanced Security Administrative Environment (ESAE) di Microsoft per una maggiore sicurezza.
- VPN, che cos'è?
- Vladimir Putin usa ancora Windows XP
- Le minacce malware su Mac stanno aumentando ma non fatevi prendere dal panico
Fonte: ZDnet
