قال باحثون أمنيون إنهم وجدوا أدلة على تورط مجموعة قرصنة إلكترونية مرتبطة بالحكومة الصينية، في موجة هجمات أخيرة تستهدف "المصادقة الثنائية" 2FA.
وعزت الشركة الهولندية للأمن السيبراني "فوكس إيه تي" Fox-IT الهجمات إلى مجموعة "إيه بي تي20" APT20 التي يعتقد أنها تعمل بناء على طلب من حكومة بكين، في تقرير نشرته الأسبوع الماضي.
واستهدفت المجموعة بشكل رئيسي الكيانات الحكومية و"مقدمي الخدمات المدارة" MSPs. كانت الهيئات الحكومية المستهدفة شملت مجالات مثل الطيران والرعاية الصحية والمالية والتأمين والطاقة.
ويأتي تقرير شركة "فوكس إيه تي" لسد الفجوة في تتبع نشاط المجموعة المذكورة، إذ بدأ نشاطها عام 2011، لكن الباحثين فقدوا القدرة على رصد حركاتها بين 2016 و2017 حين غيرت طريقة عملها.
وأفاد الباحثون الأمنيون بأن القراصنة الإلكترونيين استخدموا خوادم الويب كنقطة أولية للدخول إلى أنظمة الهدف، مع التركيز بشكل خاص على JBoss، وهي منصة تطبيقات المؤسسات المعتمدة غالباً في الشبكات الحكومية والشركات الكبيرة.
واستخدمت مجموعة APT20 الثغرات للوصول إلى هذه الخوادم، وتثبيت برمجياتها الخبيثة، ثم الانتشار أفقياً من خلال الأنظمة الداخلية للضحية.