Citizen Lab
Google威胁情报小组(Google Threat Intelligence Group,GTIG)与加拿大的公民实验室(Citizen Lab)本周揭露一起来自俄罗斯国家级骇客的攻击行动,主要利用社交工程手法及应用程式专用密码(Application Specific Password,ASP)来绕过重要应用的多因素身分验证(Multi-Factor Authentication,MFA),进而入侵受害者的Gmail或其它服务。
有些第三方应用程式会需要使用者登入以存取平台服务,后者涵盖了Gmail或其它Google服务,苹果的iCloud、通讯录或行事历,或是微软的Microsoft 365等;倘若使用者已于平台上启用了MFA,但该第三方应用程式并不支援MFA,那么使用者便必须在这些平台服务上生成一个16位数的应用程式专用密码,以供第三方应用程式使用,替代MFA。
此波攻击行动被Google命名为UNC6293,受害者之一是英国的俄罗斯专家Keir Giles,他揭露许多俄罗斯的秘密活动,也撰写大量有关俄罗斯入侵乌克兰的文章。
Giles在今年5月22日收到一名自称是美国国务院官员Claudie Weber的来信,Weber自称是美国国防部顾问,邀请Giles参与一场线上会议。虽然Weber通讯时使用Gmail,但也将副本送到@state.gov邮件位址,在双方十多次的书信往来之后,Weber即寄送了一个PDF档,引导Giles于他的Gmail电子邮件帐号中生成应用程式专用密码,并将它指定给一个名为ms.state.gov的程式使用,再截图回传。
骇客让Giles以为他所建立的密码是用来安全存取国务院资源或登入会议,但实际上这个ASP凭证是用来让骇客存取Giles的Gmail帐号。此外,Giles应骇客的要求在许多帐号上都生成了ASP。
最后是Google发现了相关攻击,锁住了受影响的帐号,接著禁用了骇客的Gmail帐号。
UNC6293行动是在今年4月至6月间,锁定了许多知名学者与俄罗斯批评者展开攻击。Google表示,使用者其实可以完全控制其ASP,可根据需求建立或撤销它们,且在使用者建立时,会传送通知至相对应用的Gmail帐号、复原Email帐号,以及任何登入Google帐号的装置,以确保使用者知道他们打算启用该形式的身分验证。
Google亦提醒,在大多数的情况下是不需要也不建议生成ASP的。