Hacker Trung Quốc đã qua mặt được phương thức bảo mật 2 lớp
P.W
1 nămBình luận: 129
Hacker Trung Quốc đã qua mặt được phương thức bảo mật 2 lớp
Các nhà nghiên cứu bảo mật tại Fox-IT của Hà Lan mới đây tuyên bố họ có bằng chứng cho thấy những đợt tấn công gần đây của nhóm hacker khét tiếng APT20 của Trung Quốc đã qua mặt được phương thức bảo mật 2 lớp (2FA). Hầu hết mục tiêu của APT20 là các cơ quan chính phủ các nước và các nhà cung cấp dịch vụ khác nhau như y tế, hàng không, tài chính, bảo hiểm, năng lượng, và thậm chí đôi lúc các trang web cờ bạc cũng bị APT20 đưa vào tầm ngắm.

Tinhte_Hacker2.png
Những quốc gia và các ngành kinh doanh của các công ty bị APT20 tấn công trong vài năm qua

APT20 bắt đầu thực hiện những hành vi xâm nhập trái phép máy chủ của các cơ quan và tổ chức từ năm 2011, nhưng đến khoảng 2016-2017, các nhà nghiên cứu bảo mật mất dấu những hacker Trung Quốc, khi chúng thay đổi phương thức hoạt động. Mãi đến bây giờ Fox-IT mới đưa ra báo cáo về những thay đổi đó. Theo họ, hacker tập trung đánh vào máy chủ của các tổ chức, công ty, và hầu hết đều nhắm tới nền tảng JBoss, platform thường được các cơ quan chính phủ và doanh nghiệp sử dụng.

Một khi đã thâm nhập được vào đến máy chủ, hacker sẽ đi tìm các tài khoản có quyền admin để xâm nhập sâu hơn vào hệ thống. Thậm chí chúng còn có thể lấy được cả thông tin VPN riêng của người chủ sở hữu tài khoản admin, đăng nhập đường hoàng vào hệ thống của các tổ chức. Những hacker này hiếm khi bị phát hiện, vì chúng sử dụng những công cụ chính thống vốn đã được cài đặt trong máy chủ và thiết bị, thay vì dùng những malware tự viết, vốn dễ bị phần mềm bảo mật phát hiện ra hơn. Điều đó dẫn chúng ta đến với việc làm cách nào hacker Trung Quốc lại qua mặt được hàng rào bảo vệ 2FA của những ứng dụng VPN cho doanh nghiệp.

Tinhte_Hacker1.jpg

Fox-IT mới chỉ đưa ra được ý tưởng dự đoán làm cách nào hacker Trung Quốc lại qua mặt được 2FA, nhờ vào việc phát hiện ra những kẻ tấn công kết nối được với các tài khoản VPN được bảo vệ 2 lớp. Có thể APT20 đã ăn cắp được software token RSA SecurID từ chính hệ thống bị hack, rồi sau đó dùng chính chiếc máy đã bị hack để xin mã OTP qua mặt hai lớp bảo mật. Thông thường thì điều này gần như không thể xảy ra. Để dùng được token mềm, người dùng phải kết nối token cứng vào máy tính, rồi thiết bị và phần mềm OTP sẽ tạo ra mã cho người dùng đăng nhập. Nếu không có token cứng, RSA SecurID sẽ hiện thông báo lỗi như thế này:

Tinhte_Hacker3.png

Tuy nhiên Fox-IT cho rằng hacker Trung Quốc có thể qua mặt hệ thống như sau: Token mềm tạo ra mã OTP cho một hệ thống cụ thể, nhưng thông tin của hệ thống hoàn toàn có thể bị hacker lấy cắp sau khi đã xâm nhập được vào đó. Hacker thậm chí cũng chẳng cần lấy hết thông tin hệ thống để đánh lừa RSA SecurID, vì những giá trị này chỉ được kiểm tra khi xuất thông tin SecurID Token Seed, không liên quan tới tiến trình lấy mã OTP bảo mật 2 bước. Hacker chỉ cần qua mặt bước phần mềm token kiểm tra có đúng hệ thống hay không mà thôi. Nhờ đó, hacker có thể qua mặt phương thức bảo mật 2 lớp để ăn cắp mã OTP RSA SecurID bản mềm, tạo ra những mã OTP có giá trị để đăng nhập tài khoản VPN, tiếp tục xâm nhập vào hệ thống của cả một công ty hay tổ chức chính phủ:

Tinhte_Hacker4.png

Theo ZDNet
Cover_Hacker.jpeg
K hiểu lắm. Có phải nó xâm nhập vô máy tính của ông admin, lấy phần mềm RSA SecurID và đoạn mã (soft token) được tạo ra bởi RSA SecurID và thiết bị token. Từ đó trên máy của chúng, chúng mở RSA SecurID và dán cái đoạn mã kia vào và a lê hấp ta đã là admin. Có phải vậy k nhỉ?
@lazyboy76 Mình cũng đọc bản gốc đấy chứ.
@from team b with love Các vấn đề xung quanh 2FA vẫn là giả thuyết của phía Fox-IT và chưa được xác minh.
banh.tieu
ĐẠI BÀNG
1 năm
@from team b with love Bác mod này dịch sai làm người ta hiểu lầm. Hacker trung quốc chỉ vượt qua được bảo mật 2 lớp của hệ thống kia thôi chứ không phải là vượt qua được hệ thống bảo mật 2 lớp chung chung.
@Nguyen N°5 Thế sao có bảo mật 2 lớp ko bác
toolkit
CAO CẤP
1 năm
Không thấy báo cáo về các hacker Mỹ
@vsphere Ở mỹ hacker có lương tâm và bảo vệ trái đất bảo vệ dân mỹ nhé 😆
zombie01
TÍCH CỰC
1 năm
@vsphere Vn có siêu hacker làm bay nick facebook nhé. :rolleyes:
senfall
TÍCH CỰC
1 năm
@Pisces.Mist bảo vệ nhan dân mỹ thì đúng rồi hack nào chả bảo vệ dân mình. còn có lương tâm thì hơi khó à đặc biệt là mỹ. vẫn đề là có biết là mỹ làm thì nhiều người chọn im lặng cho lành.
@toolkit Có nha bạn. hãy coi phim, đọc báo Trung Quốc, Nga, Triều Tiên thì sẽ thấy... coi phim Nhật, Mỹ nhiều nên không biết đoá thôi ;)
bá đạo thế .
trieu04
TÍCH CỰC
1 năm
Nói thẳng ra đây là 1 tổ chức trộm cắp của chính phủ Trung Quốc cả mà thôi.
@trieu04 Kiểu như không lo sản xuất mà suốt ngày rình mò hàng xóm 😁
johnny8384
TÍCH CỰC
1 năm
@thuonguyendinh Đi tắt đón đầu đới!
LouisHo
ĐẠI BÀNG
1 năm
@trieu04 Nhớ kì báo đăng tin APT20 này được Chính Phủ TQ hậu thuẫn sau lưng và có cả 1 tòa nhà đồ sộ cho các hacker làm việc nghiêm cấm các phóng viên bén mảng lại gần
@johnny8384 Nghe quen quá
Bảo sao ngay cả facebook cài bảo mật 2 lớp nó vẫn vào đc
@[HD]YêU cÔnG NgHệ Facebook lần gần nhất mình dùng 2FA thấy khá nửa mùa, không cần mã 2FA vẫn vào được.
Đất nước của sự trộm cắp, thi thoảng lại lên báo 😁

Nỗi nhục của châu Á !
@Khẩu trang xanh nó sẽ chiếm cả châu á để không còn nước nào ở châu á thấy nhục vì nó là duy nhất :D
baomat1585
TÍCH CỰC
1 năm
@Khẩu trang xanh Quan trọng là nó có Tik Tok hàng trăm triệu người sử dụng, còn người tinhte chỉ giỏi chém gió làm gì đc cho đời, chém nhiều chém ít thì cuộc sống nó chẳng khá lên đâu.
duyhung07
TÍCH CỰC
1 năm
@Khẩu trang xanh Nó đứng thứ 2 thế giới đó
macinPhone
TÍCH CỰC
1 năm
Tập cẩu tài trợ cho chúng nó cả, bày đặt tự đóng vai nạn nhân
Cũng phải công nhận mấy thằng Tàu rất siêu đi
12minhduc.
TÍCH CỰC
1 năm
Tụi này, ăn không được thì phá, làm không được cũng phá, xin không được cũng phá, trộm không được cũng phá nốt. Chắc quỳ lạy chúng nó để xin bình yên quá.
ngole88
TÍCH CỰC
1 năm
@hgbinh tranh luận thì nói chuyện lịch sự, còn nói kiểu vô học như bạn thì next!
@sskkb Vâng, Tàu nhà bạn cũng hiền lắm đấy, chả bao giờ tấn công người dân vô tội đâu nhỉ, chó chê mèo lắm lông à
hgbinh
TÍCH CỰC
1 năm
@heobanhki Hốt nốt luôn bọn liếm mứt Mẽo và Tây Lông vs rồ Ngố luôn thể nhé =))
Lũ mọi rợ bại hoại đó bắn bỏ hết =))))
hgbinh
TÍCH CỰC
1 năm
@ngole88 Cãi không được chơi trò đó à thanh niên =)))
ruby time
ĐẠI BÀNG
1 năm
Nó giỏi thật. Gì cũng làm được
BB_amater
ĐẠI BÀNG
1 năm
Trình độ ăn cắp và ăn cướp đã tới mức thượng thừa...
@BB_amater Và xài đồ của chúng cũng chẳng khác nào bọn ăn cắp.
BB_amater
ĐẠI BÀNG
1 năm
@thanh.vohong Do nghèo đạo đức thôi mà bạn
@thanh.vohong sài đồ của bọn ăn cắp đất của người da đỏ chắc ko phải bọn ăn cắp, à nhầm ăn cướp 😁
CuongLam02
TÍCH CỰC
1 năm
Quan trọng cái câu “từ phần mềm chính thống vốn đã được cài đặt vào trong thiết bị”, vậy là nó bán thiết bị đã được cài backboor.
@CuongLam02 Có nghĩa là hacker phải tìm hiểu xem một phần mềm làm gì, sau khi phát hiện ra lỗ hổng bảo mật và xâm nhập thì hacker tiếp tục hoạt động trong phạm vi "bình thường" của phần mềm, tránh sự phát hiện của các công cụ cảnh báo.
Mình lấy ví dụ trong bài đề cập JBoss là mục tiêu tại các cơ quan chính phủ, tổ chức quản lý hạ tầng. Hệ điều hành sử dụng là Redhat (bạn search JBoss là ra), và Redhat là công ty Mỹ, công cụ an ninh tương ứng là SELinux, phát triển bởi NSA; tóm lại không phải cài sẵn vào thiết bị bán ra.
Với trường hợp của SELinux, người quản lý sẽ phát triển, hoặc thuê công ty chuyên nghiệp để viết ra một bộ quy tắc cho tất cả phần mềm có nguy cơ (tìm hiểu thêm với từ khóa Mandatory Access Control), bất kỳ hành vi nào trong bộ quy tắc trên sẽ được cho phép, các hành vi không được cho phép sẽ được ghi lại, thông báo với người quản lý. Giống như Luật pháp trong xã hội thực vậy.
Với các hệ thống kiểu này, hacker sẽ không làm theo cách cũ là tải malware lên hệ thống về chạy từ đây (bởi cách này chắc chắn bị chặn và thông báo bởi SELinux), mà chỉ lợi dụng lỗ hổng bảo mật, làm những điều phần mềm vẫn làm, thu thập thông tin nhiều nhất có thể.
Tóm lại là hacker phải rất am hiểu về hệ thống, cực kỳ kỉ luật và kiên trì.
APT20 bị nghi vấn/phát hiện do 1 hành vi vô kỷ luật, một hacker khi thất bại đã để lại câu chửi thề wocao (hay "damn" theo tiếng Anh) và đã bị hệ thống ghi lại.
nickanhtuan
ĐẠI BÀNG
1 năm
@lazyboy76 Cảm ơn bạn, rất bổ ích.. Đây là một trong những chú thích có tính chuyên môn cao..Tinh Tế rất ít có được. Mong bạn tiếp tục cống hiến .. Thanks bạn 1 lần nữa.. Rất thích tìm hiểu về mảng này.
xác minh bằng điện thoại an toàn hơn
vnv88
TÍCH CỰC
1 năm
@daotruong94 Tinhte đã đưa một bài nói về việc đánh lừa hệ thống và lấy mã OTP kìa bạn. 2FA còn an toàn hơn, nhưng cái này thì như trên đã có người tóm tắt rồi, vô ích cả.
Tóm tắt hack tê liệt sever nên nhập otp gì củng đúng
Trình độ đã đạt mức thượng thừa, mà là trình độ đánh cắp copy
TQ h ghê thiệt
Nâng lên 3 lớp có cải thiện tình hình không vậy mấy bồ
anh523110
TÍCH CỰC
1 năm
@Tinluntit1010 Càng nhiều lớp thì càng dễ hack.
@anh523110 ủa sao càng nhiều lớp càng dễ hack?
@anh523110 cụ chỉ dc cái phét
yeuvothuat
ĐẠI BÀNG
1 năm
@anh523110 cụ vào nhà nghỉ với bạn gái, nó mặc nhiều quần áo thì cởi lâu hơn để chén, hay nó mặc mỗi cái váy, tốc lên cái là chén nó luôn?
Cá nhân
Bạn
Hi bạn!
Điểm Reward Store: 
Tuổi Tinh tế: 
Cấp độ thành viên Tinh Tế


Tải app Tinh tế

Tải app Tinhte - Theo dõi thông tin mà bạn yêu thích

Tải app TinhteTải app Tinhte
Tải app Tinh tế cho Android trên Google PlayTải app Tinh tế cho iPhone, iPad trên App Store



Cộng đồng nổi bật




  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2020 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: 209 Đường Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3, TP.HCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019