Um grupo hacker com suposta ligação ao governo chinês é acusado de invadir redes e computadores em todo o mundo. A grande diferença desta vez é que eles conseguiram burlar facilmente a autenticação de dois fatores no processo.

O ataque foi detalhado por pesquisadores de segurança da Fox-IT Holding. Em suas invasões, o grupo é acusado de caçar senhas de contas de administradores para conseguir mais informações de seus alvos.

Mas o que chama atenção desta vez é que os especialistas em segurança afirmam ter encontrado evidências de que o grupo tenha logrado acesso a contas protegidas pelo segundo fator de autenticação (2FA). O hackeamento do 2FA não é novo, e o processo envolvido é um pouco complicado, mas ao que tudo indica, o grupo de hackers chineses encontrou uma nova forma de contornar a etapa de segurança.

Acredita-se que os hackers tenham roubado um token de software da RSA SecurID de um sistema invadido e modificado a chave para trabalhar em diferentes sistemas.

publicidade

Reprodução

“O token de software é gerado para um sistema específico, mas é claro que esse valor específico do sistema pode ser facilmente recuperado pelo ator ao ter acesso ao sistema da vítima”, explicaram os pesquisadores de segurança. 

“Na verdade, o ator não precisa se esforçar para obter o valor específico do sistema da vítima, porque esse valor específico é verificado apenas ao importar o SecurID Token Seed. Isso significa que o ator pode simplesmente corrigir a verificação, que verifica se o token programável importado foi gerado para este sistema e não precisa se preocupar em roubar o valor específico do sistema. ”

Embora o problema se aplique especificamente a tokens baseados em software, o método é preocupante, principalmente porque o 2FA é mantido regularmente como uma das maneiras mais seguras de evitar ataques e invasões como estas.