Un groupe de pirates chinois qui porte le nom d’APT20 a réussi à contourner l’authentification à deux facteurs ou 2FA. Ces hackers sont connus pour leur lien avec le gouvernement chinois. Selon ZNNet, les pirates ont compromis des informations d’identification de type VPN qui leur permettait d’accéder plus facilement aux données de leurs victimes sans être détectés. Leur procédé a été détaillé par la société néerlandaise en cybersécurité Fox-IT. Le contournement de 2FA n’est pas impossible, mais à ce stade, une telle possibilité reste très rare, car nécessitant un niveau de sophistication très élevé. Néanmoins, les auteurs du rapport ne savent pas comment les pirates chinois ont procédé. ZNNet a une certaine idée sur le sujet. Les membres de l’APT20 auraient réussi à voler un jeton de logiciel RSA SecurID. Ils l’auraient ensuite utilisé sur d’autres ordinateurs pour générer des codes uniques valides pour réaliser le contournement de l’authentification 2FA. Selon ZNNet, cette technique nécessite toutefois que le pirate connecte son ordinateur à un périphérique physique, sinon quoi, le RSA SecurID affichera une erreur. Fox-IT pense qu’APT20 a conçu son propre protocole de contournement basé sur des canaux légitimes comme un accès VPN, qui leur permet de ne pas être détectés.

Fox-IT précise que jusqu’ici, les hackers ont fait des victimes dans 10 pays, dont le Brésil, la Chine elle-même, l’Allemagne, la France, l’Italie, le Mexique, le Portugal, l’Espagne, le Royaume-Uni et les États-Unis. Principalement, ils ont ciblé des agences gouvernementales, mais aussi des prestataires travaillant pour des industriels dans les secteurs énergétiques, de santé et de la haute technologie. Après leurs méfaits, les pirates se déplacent vers d’autres cibles via des portes dérobées sur des serveurs pour commettre d’autres vols de données. Ils effacent ensuite leurs traces en supprimant les fichiers compressés utilisés pour les extractions, ce qui rend d’autant plus difficile leur identification.

À lire aussi Un des hackers à l’origine du piratage du compte du PDG de Twitter Jack Dorsey a été arrêté