مجموعة قرصنة صينية تتجاوز المصادقة الثنائية 2FA
أوضح باحثون في مجال الأمن أنهم وجدوا أدلة على أن مجموعة اختراق صينية مرتبطة بالحكومة الصينية تجاوزت المصادقة الثنائية (2FA) في موجة من الهجمات الأخيرة تحمل اسم عملية Wocao، وقالت الشركة الهولندية للأمن السيبراني Fox IT في تقرير: نسبت الهجمات إلى مجموعة APT20، والتي يعتقد أنها تعمل بناءً على طلب من حكومة بكين.
وكانت الأهداف الرئيسية للمجموعة هي الكيانات الحكومية ومقدمي الخدمات المدارة (MSPs)، حيث تنشط الكيانات الحكومية ومؤسسات المجتمع المدني في مجالات مثل الطيران والرعاية الصحية والتمويل والتأمين والطاقة.
ويأتي تقرير Fox IT لسد الفجوة في تاريخ المجموعة، والتي يعود نشاطها إلى عام 2011، لكن الباحثين فقدوا عملياتها في الفترة بين عامي 2016 و 2017 عندما غيرت طريقة عملها، كما يوثق التقرير الجديد نشاطات مجموعة APT20 على مدار العامين الماضيين وكيف كانت تفعل ذلك.
ووفقًا للباحثين، فقد استخدم المتسللون خوادم الويب كنقطة أولية للدخول إلى أنظمة الهدف، مع التركيز بشكل خاص على JBoss، وهي منصة تطبيق مشاريع غالبًا ما توجد في الشبكات الحكومية والشركات الكبيرة، واستخدمت APT20 نقاط الضعف للوصول إلى هذه الخوادم وتثبيت برمجيات ضارة ونشرها عبر الأنظمة الداخلية للضحية.
وقالت Fox IT: كان الشاغل الرئيسي للمجموعة هو الحصول على بيانات VPN، بحيث يمكن للمتسللين زيادة الامتيازات من أجل الوصول إلى مناطق أكثر أمانًا في البنية التحتية للضحية أو استخدام حسابات VPN كخلفية أكثر استقرارًا، وبالرغم من أن هذا النشاط يبدو أنه نشاط اختراق كبير على مدار العامين الماضيين، إلا أن المجموعة قد تمكنت من البقاء بعيدة عن الأنظار.