驚！中國駭客組織APT20破解雙因素認證 發動Wocao攻擊行動受害者遍佈10國

安全研究人員發現一個和中國政府有關聯的駭客組織發展出繞過雙因素驗證（two-factor authentication, 2FA）的手法。

荷蘭安全公司Fox-IT發現的證據將攻擊元兇指向名為APT20的駭客組織，認為他們的行動乃是受命於中國政府。

研究人員指出，APT 20首見於2011年，但近年卻轉向低調。他們慣常的作法是利用漏洞入侵網頁伺服器，再以此為據點侵入受害者企業軟體，特別是大型企業和政府常用的JBoss。一旦進入企業系統，即會安裝Web Shell，再橫向移動擴散到受害者內部網路企業。接著他們會開始蒐集密碼及管理員帳號以最大化觸及的目標。而他們特別留心取得VPN帳密，以便可進入受害企業基礎架構中的重要區域，或利用VPN帳號作為後門。

研究人員的證據顯示，APT20甚至成功連到以2FA保護的VPN帳號。Fox-IT還未確定這是怎麼辦到的，但猜測APT 20 先從受害系統竊取RSA SecuID軟體憑證，再以其在駭客自家電腦上產出拋棄式密碼，藉此繞過2FA。

一般情況下這是不可能的。用戶必須將實體金鑰插上電腦，軟體憑證才能產生有效的2FA密碼。要是金鑰不見了，RSA SecureID軟體就會出現錯誤。

對此，Fox-IT研究人員解釋，軟體Token是為某個系統產生的，按理說，攻擊者要拿到這個專屬值才能登入系統。但攻擊者無需多此一舉取得系統專屬值，因為只有在匯入SecureID Token Seed時才需要檢查是不是系統的專用值，它和產生2FA Token的Seed沒有關係。這表示，只要在驗證產生的軟體Token是不是正確時讓它通過即可，根本不需去偷系統專用值。簡單的說，就是駭客只需竊取RSA SecurID軟體Token和加上1個指示，就能產生有效的2FA Token。

Fox-IT將這次攻擊稱為Wocao行動。這次攻擊行動目標包括航空、醫療、金融、保險、能源等用戶，而受害者遍及10多國，包括巴西、西、葡、義、法、德、英、美、中國等。

至於為什麼稱為Wocao，這是因為中國駭客發現自己被盯上時叫了一聲「我操（Wocao）」後立即從受害者網路離開。

來源：ZDNet