中國知名駭客繞過兩階段認證,侵入企業用戶 VPN 網路

作者 | 發布日期 2019 年 12 月 24 日 19:00 | 分類 資訊安全 follow us in feedly


中國駭客又被抓到蹤影了,資安學者找到與中國政府有關聯的駭客集團 APT20 的活動動向,最近幾次攻擊繞過二階段認證機制,進入企業內部的 VPN 網路。

荷蘭資安公司 Fox-IT 在上週發布的報告中,說明他們捕抓到的 APT20 的新動向,先前不少資安研究者找不出他們在 2016~17 年的活動狀況,如今已經補上了。

驚恐的是,APT20 他們有辦法跳過二階段認證機制,具體怎麼做到並不清楚。Fox-IT 推測也許 APT20 集團先是拿到 RSA SecurID 軟體 token,再產生一次性的認證碼來繞過二階段認證機制,進而進到被保護的 VPN 服務。

APT20 的目標多是政府和管理服務提供商 (managed service providers, MSPs),像是航空、健康照護、金融、保險、能源甚至還有博弈和鎖生產商。政府和 MSPs 業者,往往手上有大量客戶的個人資料,方便進一步假裝是被偷資料的人,做進一步的社交工程行動。

Fox-IT 把一般稱為 ATP20 的中國駭客集團行動,叫做 Operation Wocao (我操),據稱是 APT20 駭客被受害人發現之後,被害人做出防禦措施,駭客已經無法輸入指令,無奈之下打出我操之後倉皇離開受害人的網路。

▲ 荷蘭資安公司 Fox-IT 的報告,細數 APT20 的行為與手法。(Source:FOX-IT)

另外 Fox-IT 也發現 APT20 所使用的工具當中,瀏覽器語系設為 zh-cn 或是 zh,活動的時間點也符合 UTC+8 的中國標準時間作息,應該為中國駭客無誤。

(首圖來源:Flickr/Dennis Skley CC BY 2.0)