中国骇客又被抓到踪影了,资安学者找到与中国-有关联的骇客集团 APT20 的活动动向,最近几次攻击绕过二阶段认证机制,进入企业内部的 VPN 网络。
荷兰资安公司 Fox-IT 在上周发布的报告中,说明他们捕抓到的 APT20 的新动向,先前不少资安研究者找不出他们在 2016~17 年的活动状况,如今已经补上了。
惊恐的是,APT20 他们有办法跳过二阶段认证机制,具体怎么做到并不清楚。Fox-IT 推测也许 APT20 集团先是拿到 RSA SecurID 软件 token,再产生一次性的认证码来绕过二阶段认证机制,进而进到被保护的 VPN 服务。
APT20 的目标多是-和管理服务提供商 (managed service providers, MSPs),像是航空、健康照护、金融、保险、能源甚至还有博弈和锁生产商。-和 MSPs 业者,往往手上有大量客户的个人资料,方便进一步假装是被偷资料的人,做进一步的社交工程行动。
Fox-IT 把一般称为 ATP20 的中国骇客集团行动,叫做 Operation Wocao (我操),据称是 APT20 骇客被受害人发现之后,被害人做出防御措施,骇客已经无法输入指令,无奈之下打出我操之后仓皇离开受害人的网络。
▲ 荷兰资安公司 Fox-IT 的报告,细数 APT20 的行为与手法。(Source:FOX-IT)
另外 Fox-IT 也发现 APT20 所使用的工具当中,浏览器语系设为 zh-cn 或是 zh,活动的时间点也符合 UTC+8 的中国标准时间作息,应该为中国骇客无误。
- Chinese hacker group caught bypassing 2FA
(首图来源:Flickr/Dennis Skley CC BY 2.0)
