驚！中國駭客組織 APT20 破解雙因素認證 發動 Wocao 攻擊行動受害者遍佈 10 國

安全研究人員發現一個和中國政府有關聯的駭客組織發展出繞過雙因素驗證（two-factor authentication, 2FA）的手法。

荷蘭安全公司 Fox-IT 發現的證據將攻擊元兇指向名為 APT20 的駭客組織，認為他們的行動乃是受命於中國政府。

研究人員指出，APT 20 首見於 2011 年，但近年卻轉向低調。他們慣常的作法是利用漏洞入侵網頁伺服器，再以此為據點侵入受害者企業軟體，特別是大型企業和政府常用的 JBoss。一旦進入企業系統，即會安裝 Web Shell，再橫向移動擴散到受害者內部網路企業。接著他們會開始蒐集密碼及管理員帳號以最大化觸及的目標。而他們特別留心取得 VPN 帳密，以便可進入受害企業基礎架構中的重要區域，或利用 VPN 帳號作為後門。

研究人員的證據顯示，APT20 甚至成功連到以 2FA 保護的 VPN 帳號。Fox-IT 還未確定這是怎麼辦到的，但猜測 APT 20 先從受害系統竊取 RSA SecuID 軟體憑證，再以其在駭客自家電腦上產出拋棄式密碼，藉此繞過 2FA。

一般情況下這是不可能的。用戶必須將實體金鑰插上電腦，軟體憑證才能產生有效的 2FA 密碼。要是金鑰不見了，RSA SecureID 軟體就會出現錯誤。

對此，Fox-IT 研究人員解釋，軟體 Token 是為某個系統產生的，按理說，攻擊者要拿到這個專屬值才能登入系統。但攻擊者無需多此一舉取得系統專屬值，因為只有在匯入 SecureID Token Seed 時才需要檢查是不是系統的專用值，它和產生 2FA Token 的 Seed 沒有關係。這表示，只要在驗證產生的軟體 Token 是不是正確時讓它通過即可，根本不需去偷系統專用值。簡單的說，就是駭客只需竊取 RSA SecurID 軟體 Token 和加上 1 個指示，就能產生有效的 2FA Token。

Fox-IT 將這次攻擊稱為 Wocao 行動。這次攻擊行動目標包括航空、醫療、金融、保險、能源等用戶，而受害者遍及 10 多國，包括巴西、西、葡、義、法、德、英、美、中國等。

至於為什麼稱為 Wocao，這是因為中國駭客發現自己被盯上時叫了一聲「我操（Wocao）」後立即從受害者網路離開。

來源：ZDNet