中国黑客组织绕过2FA被抓

安全研究人员说,他们发现了证据,表明与中国政府有关联的黑客组织在最近的一波攻击中一直绕过两因素身份验证(2FA)。

荷兰网络安全公司Fox-IT在上周发布的一份报告中说,这些攻击归因于网络安全行业正在追踪的一个组织,即APT20,据信是在北京政府的要求下进行的。

该小组的主要目标是政府实体和托管服务提供商(MSP)。政府实体和MSP活跃于航空,医疗,金融,保险,能源等领域,甚至像赌博和实物锁之类的利基市场。

APT20最近的活动

Fox-IT报告填补了该组织历史上的空白。APT20的黑客攻击可追溯到2011年,但研究人员在更改其运营方式后于2016-2017年失去了对该组织运营的跟踪。

Fox-IT的报告记录了该小组在过去两年中的工作以及他们的工作方式。

据研究人员称,黑客使用Web服务器作为目标系统的初始入口点,特别关注JBoss,JBoss是在大型公司和政府网络中经常发现的企业应用程序平台。

APT20使用漏洞来访问这些服务器,安装Web Shell,然后通过受害者的内部系统横向传播。

在内部,Fox-IT表示该小组转储了密码并寻找管理员帐户,以最大程度地访问他们。首先要考虑的是获取VPN凭据,因此黑客可以将访问权限升级到受害者基础结构的更安全区域,或者将VPN帐户用作更稳定的后门。

Fox-IT表示,尽管在过去的两年中,骇客活动看起来异常猖,,但“总体而言,该演员已经能够躲藏起来。”

研究人员解释说,他们这样做是通过使用已经安装在被黑客入侵的设备上的合法工具,而不是下载自己的定制恶意软件,而本地安全软件可能会检测到这些恶意软件。

看到APT20绕过2FA

但这并不是荷兰安全公司调查的所有攻击中最突出的事情。Fox-IT分析师表示,他们发现了证据,证明黑客与受2FA保护的VPN帐户有关。

他们是如何做到的尚不清楚;虽然,Fox-IT团队有他们的理论。他们说,APT20 从一个被黑客入侵的系统中窃取了RSA SecurID 软件令牌,然后中国演员在其计算机上使用该令牌生成有效的一次性代码并随意绕过2FA。

通常,这是不可能的。要使用这些软件令牌之一,用户将需要将物理(硬件)设备连接到他们的计算机。然后,设备和软件令牌将生成有效的2FA代码。如果设备丢失,则RSA SecureID软件将生成错误。

Fox-IT团队解释了黑客如何解决此问题:

软件令牌是为特定系统生成的,但是,当访问受害者的系统时,参与者当然可以很容易地检索到该系统特定值。

事实证明,参与者实际上不需要费心获取受害者系统的特定值,因为仅在导入SecurID令牌种子时才检查该特定值,并且与用于生成实际2的种子没有任何关系。因子令牌。这意味着参与者实际上可以简单地修补支票,该支票可以验证是否为该系统生成了导入的软令牌,并且根本不需要费心窃取系统特定的值。

简而言之,参与者必须利用2个因素的身份验证代码来窃取RSA SecurID软件令牌并修补1个指令,从而生成有效的令牌。

沃草

Fox-IT表示,它能够调查APT20的攻击,因为被黑客攻击的公司之一召集了他们,以帮助调查和应对黑客攻击。

有关这些攻击的更多信息,请参见报告“ Wocao操作 ”。

这家荷兰公司表示,在中国黑客被检测到并从受害者的网络中引导出来后作出回应后,该报告将报告命名为“ Wocao”。

在下面的屏幕截图中,您可以查看APT20尝试连接到受害者网络上安装的(现在已删除的)Web Shell。

黑客尝试运行多个Windows命令。当命令执行失败时,APT20黑客知道他们已被检测到并抛出网络,然后他们沮丧地输入了最后一个命令-wocao,这是“ s”或“该死”的中文语。

相关推荐