發表時間: 2019-12-25 11:32:00作者:黃敬淳
中國官方駭客現蹤!入侵失敗還爆「粗口」被記下。(圖片來源:Adobe Stock)
中國官方駭客現蹤!入侵失敗還爆「粗口」被記下
荷蘭安全網路公司「Fox-IT」日前公佈報告,記錄了至少在 2011 年就已開始活動的駭客組織「APT20」於過去兩年間的活動內容。「Fox-IT」相信,該組織的攻擊是由位於北京的中國政府單位下令進行。
「APT20」主要的攻擊目標,是實體的政治單位,以及各類網路託管服務商(MSP),內容涵蓋航空、保險、金融、醫療、能源,甚至賭博。大約在 2016 ~ 2017 年間,因運作方式改變,外界曾一度失去對「APT20」的追蹤,但「Fox-IT」提出的報告則還原了「APT20」消失的兩年。
「APT20」的攻擊手法,基本是透過漏洞(尤其是針對 JBoss,後改稱 WildFly)在伺服器安裝後門,並以此進入特定單位的內部系統。接著,「APT20」會嘗試拿到管理員帳戶及其密碼,或 VPN 憑證,以提高訪問權限,或是用 VPN 打造更穩固的後門。
而「APT20」近來嘗試最多的攻擊行為,則是試圖繞過具「二步驟驗證」功能的 VPN 帳號。雖然「APT20」攻擊成功的方式仍然未完全釐清,但「Fox-IT」指出,至少目前「APT20」的活動已經在外界的追蹤之下。
有趣的是,「Fox-IT」也發現,「APT20」曾在一次攻擊行為中被管理者發現。當經過一系列執行命令、最終發現自己失去對後門的控制權後,「APT20」以英文留下「wocao」(即「我操」)字眼,然後被踢出網路。