Η CISA ανακοίνωσε στις 13 Ιανουαρίου ότι χάκερς παρέκαμψαν τα πρωτόκολλα ελέγχου ταυτότητας πολλών παραγόντων (MFA) για να παραβιάσουν cloud service accounts. Συγκεκριμένα, η σχετική της ανακοίνωση αναφέρει τα ακόλουθα: «Η CISA γνωρίζει πολλές πρόσφατες επιτυχημένες κυβερνοεπιθέσεις που είχαν στόχο υπηρεσίες cloud διαφόρων οργανισμών. Οι χάκερς που εμπλέκονται σε αυτές τις επιθέσεις χρησιμοποίησαν διάφορες τεχνικές και τακτικές, συμπεριλαμβανομένου του phishing, των απόπειρων brute force, και της “pass-the-cookie” επίθεσης – επιδιώκοντας να εκμεταλλευτούν αδυναμίες στις πρακτικές ασφάλειας cloud των υποψήφιων θυμάτων.»
Όπως αναφέρει το BleepingComputer, οι χάκερς προσπάθησαν να αποκτήσουν πρόσβαση σε ορισμένα από τα περιουσιακά στοιχεία του στόχου τους μέσω brute-force επιθέσεων. Ωστόσο, απέτυχαν είτε επειδή δεν μπόρεσαν να μαντέψουν τα σωστά credentials είτε επειδή ο οργανισμός – στόχος είχε ενεργοποιημένο τον έλεγχο ταυτότητας πολλών παραγόντων (MFA). Σε τουλάχιστον μία περίπτωση, οι χάκερς κατάφεραν να συνδεθούν επιτυχώς στον λογαριασμό ενός χρήστη, παρόλο που ο στόχος είχε ενεργοποιημένο το MFA.
Σύμφωνα με τη CISA, οι χάκερς κατάφεραν να παρακάμψουν τα πρωτόκολλα ελέγχου ταυτότητας MFA ως μέρος μιας «pass-the-cookie» επίθεσης. Πρόκειται για ένα είδος επίθεσης κατά το οποίο οι επιτιθέμενοι εισβάλλουν σε ένα ήδη επικυρωμένο session, χρησιμοποιώντας κλεμμένα session cookies, για να συνδεθούν σε online υπηρεσίες ή web εφαρμογές.
Η υπηρεσία παρατήρησε επίσης ότι οι εισβολείς χρησιμοποίησαν την αρχική πρόσβαση που απέκτησαν μετά από phishing σε credentials υπαλλήλων, για να κάνουν phishing και σε άλλους λογαριασμούς χρηστών που βρίσκονται στον ίδιο οργανισμό, καταχρώντας αυτό που έμοιαζε με την υπηρεσία φιλοξενίας αρχείων του οργανισμού για να φιλοξενήσει τα κακόβουλα συνημμένα τους.
Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα
Αποκαλύφθηκαν τα Cybercab robotaxi και Tesla Robovan
Πώς τα εργαλεία της OpenAI επηρεάζουν τις εκλογές;
Σε άλλες περιπτώσεις, οι χάκερς τροποποίησαν ή δημιούργησαν κανόνες προώθησης email και κανόνες αναζήτησης, για να κλέψουν ευαίσθητες και οικονομικές πληροφορίες από παραβιασμένους λογαριασμούς email.
Επιπλέον, το FBI προειδοποιεί τους οργανισμούς σχετικά με απατεώνες που καταχρώνται κανόνες αυτόματης προώθησης σε web-based email clients σε BEC (Business Email Compromise) επιθέσεις.
Η CISA επισημαίνει επίσης ότι αυτή η δραστηριότητα για την παραβίαση cloud service accounts δεν συνδέεται ρητά με τους κυβερνοεγκληματίες που βρίσκονται πίσω από την επίθεση της εφοδιαστικής αλυσίδας της SolarWinds ή οποιαδήποτε άλλη πρόσφατη κακόβουλη δραστηριότητα.
Οι επιθέσεις στις οποίες αναφέρεται η CISA στοχεύουν τακτικά υπαλλήλους που χρησιμοποιούν εταιρικές ή προσωπικές συσκευές, ενώ είχαν πρόσβαση στις υπηρεσίες cloud του οργανισμού τους από το σπίτι. Οι αδύναμες πρακτικές ασφαλείας ήταν η κύρια αιτία πίσω από την επιτυχία των επιθέσεων.
Η CISA παρέχει επίσης δείκτες συμβιβασμού, καθώς και τακτικές, τεχνικές και διαδικασίες (TTP) που μπορούν να βοηθήσουν περαιτέρω τους διαχειριστές και τις ομάδες ασφαλείας να ανταποκριθούν αποτελεσματικά σε επιθέσεις που στοχεύουν τον οργανισμό τους και όλα τα «υπάρχοντά» του. Η υπηρεσία προτείνει, ακόμη, μέτρα που μπορούν να λάβουν οι οργανισμοί για να ενισχύσουν τις διαμορφώσεις ασφαλείας cloud και να αποκλείσουν επιθέσεις που στοχεύουν τις cloud υπηρεσίες τους.