Xác thực hai yếu tố liệu có còn an toàn?

VietTimes -- Trong thời gian gần đây, nhiều nhà phát triển ứng dụng từ các dịch vụ trực tuyến đến các trò chơi đều cung cấp hệ thống xác thực hai yếu tố với tuyên bố phương thức xác thực này có thể đảm bảo an toàn cho các tài khoản, các thiết bị thông minh của người dùng. Tuy nhiên, biện pháp bảo mật này không thực sự an toàn như bạn nghĩ.

Một nhóm tin tặc của Trung Quốc được cho là đã “qua mặt” cơ chế xác thực hai yếu tố. Ảnh: Gizmochina

Một nhóm tin tặc của Trung Quốc được cho là đã “qua mặt” cơ chế xác thực hai yếu tố. Ảnh: Gizmochina

Theo ZDNet, một nhóm tin tặc Trung Quốc có tên APT20 đã qua mặt các phương pháp bảo mật phổ biến hiện nay bao gồm xác thực hai yếu tố. Công ty an ninh mạng Fox-IT của Hàn Lan cho biết mục tiêu tấn công của APT20 là các tổ chức chính phủ, nhà cung cấp dich vụ được quản lý (MSP), chủ yếu tập trung vào các lĩnh vực như hàng không, y tế, tài chính, bảo hiểm, năng lượng… cả khóa vật lý và cờ bạc.

Fox-IT cho biết, APT20 đã sử dụng máy chủ web làm điểm xâm nhập ban đầu vào các hệ thống của mục tiêu. Đặc biệt, chúng tập trung vào JBoss - một nền tảng ứng dụng doanh nghiệp thường được tìm thấy trong mạng công ty và chính phủ lớn.

APT20 đã lợi dụng lỗ hổng này để truy cập vào các máy chủ, cài đặt vỏ web (web shell) và xâm nhập qua các hệ thống nội bộ của nạn nhân. Tiếp theo, nhóm tin tặc này sẽ vượt qua bước xác thực mật khẩu, tìm kiếm tài khoản quản trị viên và tối đa hóa quyền truy cập. Mối quan tâm hàng đầu của tin tặc là có được thông xác thực vào mạng VPN, từ đó mở rộng quyền truy cập vào các khu vực khác trong cơ sở hạ tầng của nạn nhân hoặc sử dụng tài khoản VPN như cửa hậu (backdoor) ổn định hơn.

Bằng cách sử dụng các công cụ “hợp pháp” đã được cài đặt trên các thiết bị bị tấn công thay vì phải tải xuống các phần mềm độc hại, APT20 đã “qua mặt” được các hệ thống bảo mật.

Các chuyên gia của Fox-IT cho biết họ đã tìm thấy các bằng chứng cho thấy các tin tặc đã xâm nhập thành công vào một số tài khoản được bảo vệ bởi cơ chế xác thực hai yếu tố (2FA).

Ảnh: Gizmochina

Cách phương thức xác thức hai yếu tố hoạt động. Ảnh: Gizmochina

Vẫn chưa rõ phương thức tấn công của APT20, tuy nhiên Fox-IT đặt giả thuyết như sau: có thể APT20 đã đánh cắp mã thông báo phần mềm RSA SecurID từ hệ thống bị tấn công, sau đó sử dụng để tạo ra mã hợp lệ và qua mặt cơ chế 2FA. Nói một cách đơn giản hơn, nhóm đã sử dụng mã khóa bj đánh cắp và sửa đổi chúng từ tài khoản bị hack nhằm qua mặt hệ thống bảo mật.


Cho đến thời điểm hiện tại, chưa có giải pháp nào được đưa ra để khắc phục vụ tấn công này. Nhưng điều đó không có nghĩa phương thức bảo mật này hoàn toàn thiếu sót và không an toàn. Để bảo vệ tài khoản của chính mình, người dùng nên kiểm tra kỹ quy trình xác minh kép nhằm cá nhân hóa và độc lập hơn giữa hai phương thức.

Một điểm đáng chú ý ở đây là công dân Trung Quốc có nguy cơ bị tấn công cao hơn do nhóm này có khả năng được chính phủ Bắc Kinh “chống lưng”. Điều này cũng phù hợp với báo cáo của Fox-IT khi cho rằng APT20 đang tích cực nhắm mục tiêu đến các hệ thống VPN.

Theo ZDNet, Gizmochina