Ook toegang met twee ‘sloten’ is

Chinese kraakgroep APT20 nog steeds actief

(afb: fox-it.com/nl)

Een e-kraakgroep die wordt aangeduid met APT20 is er in geslaagd het dubbele ‘slot’ van een tweestaps-aanmelding te omzeilen, zo meldt het Nederlandse webbeveiligings-bedrijf Fox-IT. Die gekraakte apparaten zouden worden gebruikt voor virtuele particulier netwerken ,vpn’s, een techniek om je doen en laten op het wereldwijde web te verduisteren en om Chinese webmuren en  censuur te omzeilen.
De kraakgroep zou banden hebben met de Chinese overheid. Zij zou al sedert 2011 opereren, maar leek in 2016 te zijn verdwenen door verandering van werkwijze. Fox-IT zou de laatste jaren sporen op het web hebben gevonden van hun activiteiten, waarbij de krakers in talloze systemen zouden hebben ingebroken en zelfs niet te stuiten zijn geweest door tweestapsverificatieaanmelding. Het bedrijf heeft daarvoor de naam operatie Wacao bedacht.

De e-krakers bezochten overheidslocaties en webdienstverleners op het gebied van, onder meer, luchtvaart, bouw, gokspellen, financiën en gezondheid.  Ze schijnen zich op te hebben binnengedrongen in intranetten van bedrijven en organisaties en zouden een serverweb van JBoss zijn binnengedrongen, een platform voor toepassingen. Daar zouden ze andere computers van het JBoss-intrasnet hebben belaagd.
Het leek de aanvallers te gaan om het overnemen van de apparatuur en niet zozeer op het plaatsen van eigen digitaal ongerief op de binnengedrongen computers. Daarmee wordt ontdekking van de digitale inbraak kleiner. In de overgenomen toestellen zouden ze toegangscodes hebben buitgemaakt van systeembeheerders maar ook van vpn’s. Toch schijnt een van de belaagde bedrijven onraad te hebben geroken en Fox-IT in de arm te hebben genomen.
Dergelijke digitale inbraken vinden regelmatig plaats, waarbij ge-/misbruik wordt gemaakt van fouten in programma’s of besturingssystemen. Via toetsenloggers, scripts of andere hulpmiddelen gaan de krakers dan op jacht naar buit. Wacao is een scheldwoord in het Chinees dat ooit verscheen in een lijst van commando’s van een computer toen een kraker met de gebruikelijke commando’s geen toegang tot een netwerk kreeg zoals verwacht.

Tweestapsaanmelding

Hoewel het merendeel van de door de krakers gebruikte middelen min of meer klassiek waren, waar er toch wat facetten waarover de Fox-IT-onderzoekers zich verbaasd hadden zoals het omzeilen van de tweetrapsaanmelding. Ze hebben niet kunnen ontdekken hoe de inbrekers dat precies gedaan hebben. Hoogstwaarschijnlijk hebben ze op de een of andere manier verificatiecodes (tokens) gestolen die worden gebruikt voor die extra veilige (nou ja) toegangsbewaking. Zelfs als zo’n token maar voor één computer geschikt is dan zou er nog wel wat mee te doen zijn voor de krakers. Daartoe moeten de inbrekers de zaak zo veranderen dat ze geldige codes kunnen aanmaken, stellen de onderzoekers.

Bron: Futura-Sciences

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.