Σύμφωνα με το FBI, hackers που υποστηρίζονται από το Ρωσικό κράτος απέκτησαν πρόσβαση σε ένα cloud μη κυβερνητικών οργανώσεων, αφού έγραψαν τη δική τους συσκευή στο Duo MFA του οργανισμού μετά την εκμετάλλευση εσφαλμένων προεπιλεγμένων πρωτοκόλλων ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Δείτε επίσης: FBI: To Ragnar Locker ransomware έχει στοχεύει 52 οργανισμούς που ανήκουν στις κρίσιμες υποδομές των ΗΠΑ
Για να παραβιάσουν το δίκτυο, χρησιμοποίησαν διαπιστευτήρια από μια επίθεση brute-force password guessing, για απόκτηση πρόσβασης σε έναν μη εγγεγραμμένο και ανενεργό λογαριασμό, ο οποίος δεν έχει ακόμη απενεργοποιηθεί στην υπηρεσία καταλόγου Active Directory του οργανισμού.
“Καθώς οι προεπιλεγμένες ρυθμίσεις διαμόρφωσης του Duo επιτρέπουν την εκ νέου εγγραφή μιας νέας συσκευής για αδρανείς λογαριασμούς, οι κακόβουλοι χρήστες μπόρεσαν να εγγράψουν μια νέα συσκευή για αυτόν τον λογαριασμό, να ολοκληρώσουν τις απαιτήσεις ελέγχου ταυτότητας και να αποκτήσουν πρόσβαση στο δίκτυο των θυμάτων“, εξηγούν οι ομοσπονδιακές υπηρεσίες.
Το επόμενο βήμα ήταν να απενεργοποιήσουν την υπηρεσία MFA ανακατευθύνοντας όλες τις κλήσεις Duo MFA στον localhost αντί στον διακομιστή Duo, μετά την τροποποίηση ενός αρχείου ελεγκτή τομέα.
Αυτό τους επέτρεψε να ελέγχουν την ταυτότητα στο εικονικό ιδιωτικό δίκτυο (VPN) της ΜΚΟ ως μη διαχειριστές, να συνδέονται με ελεγκτές τομέα των Windows μέσω πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) και να λαμβάνουν διαπιστευτήρια για άλλους λογαριασμούς τομέα.
Δείτε ακόμα: FBI: Το BlackByte ransomware έχει στοχεύσει κρίσιμες υποδομές των ΗΠΑ
Με τη βοήθεια αυτών των παραβιασμένων λογαριασμών και χωρίς την επιβολή MFA, οι κακόβουλοι χρήστες από τη Ρωσία, θα μπορούσαν να μετακινηθούν πλευρικά και να αποκτήσουν πρόσβαση στο χώρο αποθήκευσης cloud και στους λογαριασμούς email και να διεισδύσουν σε δεδομένα.
Το FBI και η CISA προέτρεψαν όλους τους οργανισμούς να εφαρμόσουν τα ακόλουθα μέτρα μετριασμού:
- Επιβολή MFA και αναθεώρηση των πολιτικών διαμόρφωσης για προστασία από σενάρια “fail open” και επανεγγραφής.
- Έλεγχος ότι όλοι οι ανενεργοί λογαριασμοί είναι ομοιόμορφα απενεργοποιημένοι στα συστήματα Active Directory και MFA.
- Επιδιόρθωση όλων των συστημάτων, με προτεραιότητα στην ενημέρωση κώδικα για γνωστές εκμεταλλευόμενες ευπάθειες.
Δείτε επίσης: Lockbit ransomware: Το FBI δίνει λεπτομέρειες για την επιχείρηση και συμβουλές προστασίας
Οι δύο ομοσπονδιακές υπηρεσίες μοιράστηκαν πρόσθετες πληροφορίες σχετικά με τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP), τους δείκτες παραβίασης (IOC) και συστάσεις για προστασία από αυτήν την κακόβουλη δραστηριότητα.
Προηγούμενες συμβουλές ασφαλείας προειδοποίησαν επίσης ότι Ρώσοι κρατικοί hacker στοχεύουν και διακυβεύουν αμυντικούς εργολάβους των ΗΠΑ που υποστηρίζουν τον στρατό των ΗΠΑ, την Πολεμική Αεροπορία, το Ναυτικό, τη Διαστημική Δύναμη και τα προγράμματα Υπουργείου Άμυνας και Πληροφοριών.
