Photo by Nemanja Jeremic on unsplash

資安業者Fox-IT在本周揭露了中國駭客集團APT20最近一波的攻擊行動,並將它命名為「我操行動」(Operation Wocao),指稱此一替中國政府行事的駭客集團已在全球10個國家發動間諜攻擊,還破解了2FA認證。

Fox-IT的調查顯示,「我操行動」的受害者分布在全球10個國家,有些是政府機關、有些是管理服務供應商,涉及的產業涵蓋能源、醫療及高科技領域。

APT20透過許多方法入侵這些機構的網路,其中一個主要管道是先取得VPN憑證,Fox-IT發現APT20竟然破解了VPN網路的雙因素認證機制。

目前Fox-IT並不知道APT20是如何繞過雙因素認證的,但推論駭客是盜走了RSA SecurID的軟體令牌,這是用來在裝置上產生一次性密碼的程式,但產生密碼的裝置與存取VPN網路的裝置必須是同一個,研究人員猜測,駭客是在自己的系統上安裝RSA SecurID軟體並產生密碼,再繞過VPN對裝置的限制,而滲透到被害者的網路。

只要能滲透到組織的網路,駭客就能在組織的內部網路上植入各種後門,以作為未來攻擊的入口,亦會掩蓋自己的蹤跡讓被害者無從察覺,再伺機盜走資料、破壞系統或尋找其它攻擊目標。

Fox-IT建議,不管是對系統或身分辨識架構而言,零信任(Zero Trust)模式都是最佳指導原則之一,也應結合網路與端點的遙測,以在面臨嚴重的意外時,執行即時的偵測及適當回應。


Advertisement

更多 iThome相關內容