发表时间: 2019-12-25 11:32:00作者:黄敬淳
中国官方骇客现踪!入侵失败还爆“粗口”被记下。(图片来源:Adobe Stock)
中国官方骇客现踪!入侵失败还爆“粗口”被记下
荷兰安全网络公司“Fox-IT”日前公布报告,记录了至少在 2011 年就已开始活动的骇客组织“APT20”于过去两年间的活动内容。“Fox-IT”相信,该组织的攻击是由位于北京的中国政府单位下令进行。
“APT20”主要的攻击目标,是实体的政治单位,以及各类网络讬管服务商(MSP),内容涵盖航空、保险、金融、医疗、能源,甚至赌博。大约在 2016 ~ 2017 年间,因运作方式改变,外界曾一度失去对“APT20”的追踪,但“Fox-IT”提出的报告则还原了“APT20”消失的两年。
“APT20”的攻击手法,基本是透过漏洞(尤其是针对 JBoss,后改称 WildFly)在服务器安装后门,并以此进入特定单位的内部系统。接着,“APT20”会尝试拿到管理员帐户及其密码,或 VPN 凭证,以提高访问权限,或是用 VPN 打造更稳固的后门。
而“APT20”近来尝试最多的攻击行为,则是试图绕过具“二步骤验证”功能的 VPN 帐号。虽然“APT20”攻击成功的方式仍然未完全厘清,但“Fox-IT”指出,至少目前“APT20”的活动已经在外界的追踪之下。
有趣的是,“Fox-IT”也发现,“APT20”曾在一次攻击行为中被管理者发现。当经过一系列执行命令、最终发现自己失去对后门的控制权后,“APT20”以英文留下“wocao”(即“我操”)字眼,然后被踢出网络。