Un grupo de piratería chino se ha dirigido con éxito a entidades del gobierno occidental sin pasar por las protecciones de autenticación de dos factores.
Según la compañía holandesa de ciberseguridad Fox-IT, los piratas informáticos podrían no haber sido detectados en sistemas comprometidos precisamente porque pudieron explotar las herramientas de seguridad existentes que ya están presentes.
Software utilizado
Fox-IT hizo los reclamos después de dos años de investigar sistemas comprometidos, que publicaron en un libro blanco en el que identificaron las actividades y métodos de los piratas informáticos.
El jugador clave ha sido identificado como el grupo de piratería APT20, que se dice que trabajó bajo la autoridad del gobierno chino durante casi diez años. El grupo se dirige a agencias gubernamentales y proveedores de servicios gestionados (MSP) explotando las vulnerabilidades de los servidores web para acceder a las redes.
A partir de ahí, pueden instalar shells web para que sea más fácil moverse por las redes de computadoras, centrándose en las plataformas de aplicaciones empresariales. Los hackers también se han dirigido a las estaciones de trabajo de los usuarios con privilegios de administrador, así como a las bóvedas de contraseñas.
La conclusión más sorprendente fue que los protocolos de autenticación de dos factores (2FA) podrían pasarse por alto en los sistemas vulnerables, con los piratas informáticos capaces de generar sus propios tokens de software para acceder al software explotado.
Fox-IT informa que la forma más fácil de defenderse contra tales ataques es el uso robusto de la segmentación, así como la explotación del entorno administrativo de seguridad mejorada de Microsoft (ESAE) para mayor seguridad
Vía ZDnet