中國駭客集團APT20已破解2FA認證

資安業者Fox-IT在本周揭露了中國駭客集團APT20最近一波的攻擊行動，並將它命名為「我操行動」（Operation Wocao），指稱此一替中國政府行事的駭客集團已在全球10個國家發動間諜攻擊，還破解了2FA認證。

Fox-IT的調查顯示，「我操行動」的受害者分布在全球10個國家，有些是政府機關、有些是管理服務供應商，涉及的產業涵蓋能源、醫療及高科技領域。

APT20透過許多方法入侵這些機構的網路，其中一個主要管道是先取得VPN憑證，Fox-IT發現APT20竟然破解了VPN網路的雙因素認證機制。

目前Fox-IT並不知道APT20是如何繞過雙因素認證的，但推論駭客是盜走了RSA SecurID的軟體令牌，這是用來在裝置上產生一次性密碼的程式，但產生密碼的裝置與存取VPN網路的裝置必須是同一個，研究人員猜測，駭客是在自己的系統上安裝RSA SecurID軟體並產生密碼，再繞過VPN對裝置的限制，而滲透到被害者的網路。

只要能滲透到組織的網路，駭客就能在組織的內部網路上植入各種後門，以作為未來攻擊的入口，亦會掩蓋自己的蹤跡讓被害者無從察覺，再伺機盜走資料、破壞系統或尋找其它攻擊目標。

Fox-IT建議，不管是對系統或身分辨識架構而言，零信任（Zero Trust）模式都是最佳指導原則之一，也應結合網路與端點的遙測，以在面臨嚴重的意外時，執行即時的偵測及適當回應。