Grupare de hackeri sprijinită de China, implicată în atacuri informatice de amploare îndreptate asupra mai multor ţări europene

Atrăgând atenţia prin nivelul foarte ridicat de sofisticare şi amploarea atacurilor desfăşurate, o grupare de hackeri suspectată că acţionează sub comanda guvernului de la Beijing duce o amplă campanie pentru infiltrarea reţelelor informatice de importanţă strategică, atacând deopotrivă companii private şi entităţi guvernamentale.

Potrivit raportului publicat de compania de securitate Daneză Fox-IT, atacurile atribuite grupării de hackeri APT20 vizează infiltrarea reţelelor VPN securizate folosind metode sofisticate de ocolire a sistemelor de autentificare în doi paşi (2FA) pentru obţinerea datelor de acces. Odată infiltraţi, hackerii îşi ramifică atacul pentru compromiterea cât mai multor ţinte din reţeaua internă a victimei, instalând  elemente backdoor pe serverele întâlnite. Următoarea etapă este colectarea sistematică a datelor sensibile vizate de atac, evaluând simultan posibile ţinte adiţionale de infiltrat.

„Am identificat victime ale acestei grupări în 10 ţări, în entităţi guvernamentale, furnizori de servicii şi într-o mare varietate de industrii, atingând domenii precum energie, infrastructura medicală şi companii din domeniul IT”, se arată în raportul Fox-IT. Ţintele sunt localizate mai ales în Brazilia, China, Franţa, Germania, Italia, Mexic, Portugalia, Spania, Marea Britanie şi Statele Unite.

Cel mai probabil, atacurile porneau prin furtul unui singur token RSA de pe un sistem compromis, care era folosit apoi pentru generarea unui număr nelimitat de coduri unice 2FA, permiţând autentificarea în reţele VPN securizate care folosesc acest mecanism de securitate pentru dublarea parolei introdusă de utilizator. Partea sofisticată a atacului a constat în eliminarea dispozitivului hardware introdus de utilizator pentru generarea codului 2FA, folosind o unealtă software cel mai probabil creată chiar de gruparea APT20. Folosind această cale de infiltrare a reţelelor VPN, gruparea de hackeri a reuşit să păstreze majoritatea atacurilor nedetectate.

După ce hackerii şi-au atins scopul privind colectarea de informaţii, etapa finală este ştergerea oricăror fişiere şi unelte software folosite în cadrul atacului, în ideea de a-şi ascunde identitatea şi îngreuna orice investigaţii ulterioare.