近日，APT黑客联盟根据“日爆攻击”（SUNBURST）SolarWinds的 *** 安全管理手机软件，渗入了包含五角大楼和美国白宫以内的1.八万家公司和 *** 部门，在 *** 信息安全业内刮起强烈反响。

据 *** 信息安全企业Volexity报导，执行“日爆攻击”的APT机构早已设计方案出一种恰当的方式，可以绕过总体目标互联网的多要素身份验证系统软件。

安全性企业Volexity的科学研究工作人员周一表明，它在2019年末和2020年初碰到了与“日爆攻击” *** 黑客技巧相近的攻击者，该攻击者深层次某中国智库机构內部的频次不少于3次。

在一次攻击期内，Volexity科学研究工作人员注意到 *** 黑客应用了一种新奇的技术性绕过了Duo出示的多要素身份验证维护（MFA）。在受感柒的互联网上得到管理人员权利后， *** 黑客运用这种权利帐户从运作Outlook Web App（各种各样互联网服务出示账号身份验证）的服务器上盗取了名叫akey的Duo保密信息。

随后， *** 黑客应用akey事先转化成cookie，用于绕过总体目标帐户的MFA认证。Volexity觉得攻击者是我国黑客联盟Dark Halo。科学研究工作人员Damien Cash、Matthew Meltzer、Sean Koessel、Steven Adair和Thomas Lancaster写到：

在Volexity调研Dark Halo参加的第二次攻击时，观查到攻击者根据OWA浏览了客户的电子邮箱帐户。它是令人惊讶的，由于总体目标电子邮箱受MFA维护。来源于Exchange服务器的日志表明，攻击者出示的登录名和登陆密码身份验证一切正常，但绕过了Duo的双重认证。而Duo身份验证服务器的日志却仍未纪录该客户的登陆个人行为。Volexity确定，该攻击不涉及到对话被劫持，只是根据OWA服务器的运行内存数据归档，攻击者应用了与Duo MFA对话（duo-sid）关联的cookie。

在双要素验证中，登陆密码验证通过后，服务器会评定duo-sid cookie，并明确其是不是合理。Volexity的调研发觉，攻击者从OWA服务器浏览了Duo集成密匙（akey）。随后，该密匙使攻击者能够在duo-sid cookie中设定事先测算的值。这使攻击者仅需获得客户账号和登陆密码就能彻底绕过账号的MFA认证体制。此事情注重了保证 与密匙集成关系的全部商业秘密（比如与MFA服务提供者的商业秘密）应在产生泄漏后开展变更的重要性。除此之外，关键的是，更改密码时不必应用与旧登陆密码相近的密码（比如，把旧登陆密码Summer2020！改为Spring2020！）。

Volexity对Dark Halo的攻击叙述说明，与别的安全性科学研究工作人员的结果一致，那便是攻击者呈现了非常高的技术实力。

《 *** 》和《 *** 》均引证了没有名字的 *** 部门人员的叫法，称启动“日爆攻击”的是APT黑客联盟APT29，也被称作Cozy Bear，是瑞士联邦监督局（FSB）的一部分。

虽然本实例中的MFA多要素身份验证技术性的服务提供者是Duo，但别的MFA技术性也彻底有可能被绕过。由于MFA威协模型一般不包括对OWA服务器的系统化攻击。而 *** 黑客得到的访问限制等级也足够关掉基本上全部防御措施。

DUO发布的官方网申明中写到：

思科公司的Duo Security注意到近期有安全性科学研究工作人员发布了 *** 文章，探讨了过去一年中从特殊威协参加者团队中观查到的好几个安全事故。这种事情之一涉及到Duo与Outlook Web Application（OWA）的集成。

事情的根本原因并不是Duo商品中存有一切系统漏洞。只是攻击者从目前的受感柒顾客自然环境（比如电子邮箱服务器）中得到了对集成凭证的权利浏览，这种集成凭证针对Duo服务项目的管理 *** 是不可或缺的。

为了更好地降低产生该类事情的概率，重中之重是维护集成密秘防止机构内曝露，并在猜疑有攻击的状况下交替密匙。与MFA集成的服务项目被侵入，也可以造成 集成密秘的泄漏，及其对MFA维护的系统软件和数据信息的非法访问。

Volexity说，Dark Halo的关键总体目标是获得顾问团內部特殊本人的电子邮箱。这个安全性企业表明，Dark Halo是一个繁杂的威协参加者，与一切著名的威协参加者沒有一切联络。