Skip to main content

Le groupe chinois APT20, parrainé par l’État du pays, est capable de contourner l’authentification à deux facteurs (2FA).

Des chercheurs en sécurité disent avoir trouvé des preuves qu’un groupe de piratage lié au gouvernement chinois a réussi à contourner l’authentification à deux facteurs (2FA) lors d’une récente vague d’attaques.

Les attaques ont été attribuées à un groupe que l’industrie de la cybersécurité suit comme étant le APT20, qui fonctionnerait à la demande du gouvernement de Pékin, a déclaré la firme néerlandaise de cybersécurité Fox-IT dans un rapport publié la semaine dernière.

Les cibles principales du groupe étaient les entités gouvernementales et les prestataires de services gérés (MSP). Les entités gouvernementales et les MSP étaient actifs dans des domaines tels que l’aviation, les soins de santé, la finance, les assurances, l’énergie et même quelque chose d’aussi niche que les jeux de hasard et les serrures physiques.

Activité récente d’APT20

Le rapport de Fox-IT vient combler une lacune dans l’histoire du groupe. Les premières actions de d’APT20 remontent à 2011, mais les chercheurs ont perdu la trace des opérations du groupe en 2016-2017, lorsqu’ils ont changé de mode de fonctionnement.

Le rapport de Fox-IT documente ce que le groupe a fait au cours des deux dernières années et comment il l’a fait.

Selon les chercheurs, les pirates informatiques ont utilisé les serveurs Web comme point d’entrée initial dans les systèmes d’une cible, avec un accent particulier sur JBoss, une plate-forme d’application d’entreprise souvent présente dans les grands réseaux d’entreprise et gouvernementaux.

APT20 a utilisé des vulnérabilités pour accéder à ces serveurs, installer des web shells, puis se propager latéralement à travers les systèmes internes d’une victime.

À l’intérieur, Fox-IT a déclaré que le groupe avait jeté des mots de passe et recherché des comptes d’administrateurs, afin de maximiser leur accès. L’une des principales préoccupations était d’obtenir des informations d’identification VPN, afin que les pirates puissent augmenter l’accès à des zones plus sécurisées de l’infrastructure d’une victime, ou utiliser les comptes VPN comme des portes dérobées plus stables.

Fox-IT a déclaré qu’en dépit de ce qui semble être une activité de piratage très prodigieuse au cours des deux dernières années, « dans l’ensemble, l’acteur a pu rester sous le radar ».

Ils l’ont fait, expliquent les chercheurs, en utilisant des outils légitimes déjà installés sur des appareils piratés, plutôt qu’en téléchargeant leur propre logiciel malveillant personnalisé, qui aurait pu être détecté par un logiciel de sécurité local.

APT20 vu contourner 2FA

Mais ce n’était pas la chose qui se démarquait le plus dans toutes les attaques sur lesquelles la firme de sécurité néerlandaise a enquêté. Les analystes de Fox-IT ont déclaré avoir trouvé des preuves que les pirates informatiques étaient connectés à des comptes VPN protégés par 2FA.

La façon dont ils l’ont fait reste floue; cependant, l’équipe Fox-IT a sa théorie. Ils ont déclaré qu’APT20 a volé un jeton de logiciel RSA SecurID à partir d’un système piraté, que l’acteur chinois a ensuite utilisé sur ses ordinateurs pour générer des codes uniques valides et contourner 2FA à volonté.

Normalement, cela ne serait pas possible. Pour utiliser l’un de ces tokens logiciels, l’utilisateur doit connecter un périphérique physique (matériel) à son ordinateur. L’appareil et le token logiciel génèrent alors un code 2FA valide. Si le périphérique manquait, le logiciel RSA SecureID générerait une erreur.