APT20 gruppo Cinese di haker, ruba Token software RSA SecurID.

Sempre più difficile.

Il meccanismo di autenticazione RSA SecurID consiste in un “token” hardware o software. RSA SecurID, in passato denominato SecurID, è un meccanismo sviluppato da Security Dynamics (in seguito RSA Security e ora RSA, The Security Division of EMC) per eseguire l’autenticazione a due fattori per un utente verso una risorsa di rete.

Mentre i token RSA SecurID offrono un livello di protezione contro gli attacchi di replay delle password, non sono progettati per offrire protezione contro gli attacchi man in the middle quando vengono utilizzati da soli. Se l’aggressore riesce a bloccare l’utente autorizzato dall’autenticazione al server fino a quando il codice del token successivo non sarà valido, sarà in grado di accedere al server. Risk-based analytics (RBA), una nuova funzionalità dell’ultima versione (8.0) offre una protezione significativa contro questo tipo di attacco se l’utente è abilitato e si autentica su un agente abilitato per RBA. RSA SecurID non impedisce gli attacchi basati sul man in the browser (MitB).

Token software RSA SecurID
two-factor authentication



APT20 e Token software RSA SecurID

APT20 è riuscito a rubare uno di questi token software RSA SecurID e lo ha usato per generare chiavi software valide. Questi token sono praticamente inutili senza l’hardware di accompagnamento, ma gli hacker hanno trovato un modo per aggirare anche questo.

Non è necessario che gli hacker si prendano la briga di ottenere il valore specifico del sistema della vittima, perché questo valore specifico viene controllato solo quando si importa il seme del token SecurID, e non ha alcuna relazione con il seme utilizzato per generare i token a 2 fattori. Ciò significa che l’attore può in realtà semplicemente inserire una patch al controllo che verifica se il soft token importato è stato generato per questo sistema, e non ha bisogno di preoccuparsi di rubare il valore specifico del sistema.

Di conseguenza, APT20 può ora accedere liberamente alle VPN aziendali, rafforzando ulteriormente la sua presenza nella rete. I gruppi hanno utilizzato i server web come punto di ingresso iniziale nei sistemi di un target, in particolare quelli che gestiscono JBoss.

Prodotti Red Hat JBoss

La JBoss Enterprise Application Platform (o JBoss EAP) è una piattaforma runtime per application server Java EE basata su subscription/open-source utilizzata per costruire, distribuire e ospitare applicazioni e servizi Java altamente transazionali. La JBoss Enterprise Application Platform fa parte del portafoglio di software JBoss Enterprise Middleware. Essendo basata su Java, l’application server JBoss opera su più piattaforme; è utilizzabile su qualsiasi sistema operativo che supporti Java. La JBoss Enterprise Application Platform è stata sviluppata da JBoss, ora una divisione di Red Hat.



I prodotti Red Hat JBoss sono disponibili attraverso un modello di abbonamento che include il supporto tecnico e la manutenzione a lungo termine. I prodotti JBoss includono:

EAP – una piattaforma applicativa aziendale per la creazione, la distribuzione e l’hosting di applicazioni e servizi Java.

Web Server – un server Web costruito su Apache e Tomcat.

Data Grid – un database distribuito in memoria.

Developer Studio – un ambiente di sviluppo integrato (IDE) basato su Eclipse.

Operations Network – una suite di gestione dei sistemi per ambienti applicativi JBoss.

Fuse – una piattaforma di integrazione modulare con un bus di servizi aziendali (ESB) per supportare implementazioni ibride e cloud pubblici.

A-MQ – una piattaforma di messaggistica leggera.

Data Virtualization – un servizio di virtualizzazione dei dati che consente di visualizzare e lavorare con più sorgenti di dati come se fossero un’unica entità.

BRMS – una piattaforma per la gestione delle regole di business, l’ottimizzazione delle risorse aziendali e l’elaborazione di eventi complessi (CEP).

BPM Suite – una piattaforma per la gestione dei processi di business (BPM).

Come hanno fatto.

 Hanno utilizzato strumenti preesistenti che erano già installati sull’hardware invece di malware progettato su misura, che sarebbero stati immediatamente segnalati. Hanno anche fatto in modo di ripulire ogni traccia delle loro attività. Una combinazione di questi fattori è il motivo per cui il gruppo è riuscito a rimanere inosservato per tantissimo tempo.

Anche se la prospettiva che il 2FA sia compromesso è terrificante, non c’è motivo di smettere di usarlo completamente. Si tratta probabilmente di una delle forme di sicurezza più robuste che abbiamo in questo momento e continuerà ad esserlo fino a quando non capiremo come aggiungere un terzo fattore di autenticazione.

In diversi casi il punto di accesso iniziale in una rete delle vittime era un server web vulnerabile, spesso versioni di JBoss. Tali server vulnerabili sono stati osservati spesso già compromessi con i web shell, collocati lì da altri attori della minaccia. In realtà l’attore sfrutta questi altri webshells per la ricognizione e l’attività iniziale di movimento laterale. Dopo questa ricognizione iniziale, l’attore carica una delle proprie Web Shells sul webserver. L’accesso come inizialmente ottenuto al webserver compromesso, ad esempio attraverso webshell caricata, viene mantenuto dall’attore come precauzione in caso di perdita dell’altro metodo primario di accesso persistente, ad esempio se le credenziali per gli account VPN dovessero essere resettati.



L’allarme di Fox-IT e il suo rapporto

Rapporto ufficiale

L’Operazione WocaoB Oltre ai dettagli tecnici, questo rapporto dovrebbe servire a ricordare a tutti noi come gli attori della minaccia di fascia alta, focalizzati e orientati ai risultati, lavorano per raggiungere i loro obiettivi, e che ci sono ancora attivi “attori della minaccia” che sono quasi completamente sconosciuti al pubblico. Questo profilo degli attori rivela che: – Svolgono la maggior parte delle loro attività attraverso l’abuso di canali di accesso legittimi. L’accesso VPN è un esempio di tale canale, e abbiamo anche visto questo attore abusare dei soft token 2FA.- A scopo di back-up, essi mantengono delle backdoor aggiuntive.- Si muovono attraverso la rete, individuando direttamente le postazioni di lavoro dei dipendenti con accesso privilegiato (amministratori).- Su questi sistemi, i contenuti dei caveau delle password (gestori di password) sono direttamente mirati e recuperati.-

Per quanto possibile, essi rimuovono le tracce forensi basate su file system delle loro attività, rendendo molto più difficile per gli investigatori determinare cosa sia successo dopo il fatto.- Sulla base di quanto sopra, un aggressore può raggiungere in modo efficiente il suo obiettivo di esfiltrare dati, sabotare sistemi, mantenere l’accesso e saltare ad altri obiettivi.- Nel complesso l’attore è stato in grado di rimanere sotto la linea di radar anche se gli strumenti e le tecniche che utilizza per le sue operazioni di hacking sono relativamente semplici. Sapere come lavorano gli attori di fascia alta della minaccia dovrebbe anche ricordarci che noi, i difensori, dobbiamo continuamente rivedere le nostre strategie difensive:- Zero Trust o Robust Segmentation devono essere uno dei principi guida di qualsiasi infrastruttura, sia per i sistemi che per le identità.” (Poi fa una marchetta a Microsoft che non riporto, onde evitare il vomito.)