【貴精不貴多】黑客都用雙重因素驗證 確認同時使用Firefox及Gmail才發動攻擊
網絡安全機構 Proofpoint 發表報告,指中國國家級黑客組織正利用一個惡意 Firefox 擴充工具,監視藏族僑民及其他少數族裔。而為了減少被發現的風險,攻擊只會在符合兩大條件的情況下才會被執行,就是被攻擊一方必須同時使用 Firefox 及 Gmail。
Proofpoint 安全專家指出,今次攻擊可追溯至今年一月,他們發現攻擊與中國國家級黑客組織 TA413 有關,攻擊旨在奪取被攻擊目標的 Gmail 電郵帳戶,相信是以收集藏族或少數族裔的通訊及人際網絡有關,以達到監控的終極目標。專家說今次攻擊最先由釣魚電郵起動,只要收件人正使用 Firefox 及 Gmail,就會被引導去安裝一個稱為 FriarFox 的 Firefox 擴充工具,同時再於 Firefox 上安裝 Scanbox 惡意軟件,一款專用於記錄用戶使用 Firefox 瀏覽器時曾到訪的網站資料,以及曾輸入文字的鍵盤記錄器。一旦錯信釣魚電郵內容而安裝 FriarFox,黑客將可利用受害者的 Gmail 帳戶進行下列行動:
搜尋及歸檔電郵
接收、發出及轉寄電郵
修改接收 Gmail 通知
刪除電郵及完成刪除電郵
將郵件標記為垃圾郵件
換言之,黑客可以通過上述權限,暗中操控帳戶持有人可以接觸的資訊,以及冒充對方向其人際網絡發送電郵,騙取對方透露機密資訊或令對方更容易安裝惡意軟件。而同時安裝的 Scanbox 亦可讓黑客掌握受害人的完整上網記錄,甚至儲存於 Firefox 內的其他帳戶登入資料。Proofpoint 專家認為,透過這兩方面的監控,便更加可以掌握特定異見人士或族群的內部消息及聯網。
此外,專家又指出由於國家級黑客傾向針對特定人士或機構進行入侵,所以行動一般會極盡隱密,攻擊範圍亦會盡量收窄。而在今次攻擊中,TA413 並沒有亂槍打鳥,而是只限定攻擊同時使用 Firefox 及已登入 Gmail 帳戶人士,如過程中發現對方沒有使用 Firefox 又由未有登入 Gmail,在點擊釣魚電郵內的連結時便會分別被引導至官方 YouTube 網站,或顯示未能成功安裝 Firefox 擴充工具,以減少被安全機構發現的風險。