近日，APT黑客組織通過“日爆攻擊”(SUNBURST)SolarWinds的網(wǎng)絡(luò)管理軟件，滲透到了包括五角大樓和白宮在內(nèi)的1.8萬家企業(yè)和政府機(jī)構(gòu)，在網(wǎng)絡(luò)安全業(yè)界掀起軒然大波。

據(jù)網(wǎng)絡(luò)安全公司Volexity報(bào)道，實(shí)施“日爆攻擊”的APT組織已經(jīng)設(shè)計(jì)出一種巧妙的方法，能夠繞過目標(biāo)網(wǎng)絡(luò)的多因素身份驗(yàn)證系統(tǒng)。

[[358732]]

安全公司Volexity的研究人員周一表示，它在2019年末和2020年初遇到了與“日爆攻擊”黑客手法類似的攻擊者，該攻擊者深入某智庫(kù)組織內(nèi)部的次數(shù)不少于3次。

在一次攻擊期間，Volexity研究人員注意到黑客使用了一種新穎的技術(shù)繞過了Duo提供的多因素身份驗(yàn)證保護(hù)(MFA)。在受感染的網(wǎng)絡(luò)上獲得管理員特權(quán)后，黑客利用這些特權(quán)賬戶從運(yùn)行Outlook Web App(各種網(wǎng)絡(luò)服務(wù)提供帳戶身份驗(yàn)證)的服務(wù)器上竊取了名為akey的Duo機(jī)密信息。

然后，黑客使用akey預(yù)先生成cookie，用來繞過目標(biāo)賬戶的MFA驗(yàn)證。Volexity認(rèn)為攻擊者是國(guó)家黑客組織Dark Halo。研究人員Damien Cash、Matthew Meltzer、Sean Koessel、Steven Adair和Thomas Lancaster寫道：

Volexity對(duì)Dark Halo的攻擊描述表明，與其他安全研究人員的結(jié)論一致，那就是攻擊者展現(xiàn)了極高的技術(shù)水平。

《華盛頓郵報(bào)》和《紐約時(shí)報(bào)》均援引了不具姓名的政府人士的說法，稱發(fā)動(dòng)“日爆攻擊”的是APT黑客組織APT29，也被稱為Cozy Bear，是俄羅斯聯(lián)邦安全局(FSB)的一部分。

盡管本案例中的MFA多因素身份驗(yàn)證技術(shù)的提供者是Duo，但其他MFA技術(shù)也完全有可能被繞過。因?yàn)镸FA威脅建模通常不包括對(duì)OWA服務(wù)器的系統(tǒng)性攻擊。而黑客獲得的訪問權(quán)限級(jí)別也足以關(guān)閉幾乎所有防御措施。

DUO發(fā)表的官方聲明中寫道：

Volexity說，Dark Halo的主要目標(biāo)是獲取智囊團(tuán)內(nèi)部特定個(gè)人的電子郵件。這家安全公司表示，Dark Halo是一個(gè)復(fù)雜的威脅參與者，與任何知名的威脅參與者沒有任何聯(lián)系。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文