[ad_1]

یک تصویر کارتونی از یک لپ تاپ و دستی که یک تلفن هوشمند را در دست دارد ، احراز هویت چند عاملی را نشان می دهد.

هکرهای حمله زنجیره تأمین ، که سازمان های دولتی و خصوصی را به خطر می اندازد ، راهی هوشمند برای دور زدن سیستم های تأیید اعتبار چند عاملی که از شبکه های مورد نظر محافظت می کند ، ارائه داده اند.

محققان شرکت امنیتی Volexity روز دوشنبه گفتند که آنها در اواخر سال 2019 و اوایل سال 2020 هنگامی که حداقل سه بار به عمق سازمان اتاق فکر نفوذ کردند ، با همان مهاجمان روبرو شدند.

در طی یک نفوذ ، محققان Volexity با استفاده از یک تکنیک جدید ، هکرها را برای دور زدن محافظت از وزارت امور خارجه ارائه شده توسط Duo ، مشاهده کردند. هکرها پس از به دست آوردن امتیازات مدیر در شبکه آلوده ، از این حقوق نامحدود برای سرقت راز Duo معروف به akey از سرور برنامه Outlook Web App که مشاغل از آن برای تأیید اعتبار حساب برای سرویس های مختلف شبکه استفاده می کنند ، استفاده کردند.

سپس هکرها از کوکی برای تولید کوکی استفاده کردند تا وقتی شخصی با نام کاربری و رمز عبور صحیح به حساب خود احتیاج داشت ، آن را آماده کنند. Volexity به یک گروه هکر تحت حمایت دولت مانند Dark Halo اشاره دارد. محققان دیمین کش ، متیو ملزر ، شان کوئسل ، استفان آدیر و توماس لنکستر نوشتند:

در اواخر حادثه دوم ، که Volexity با Dark Halo کار می کرد ، مشاهده شد که بازیگر از طریق OWA به حساب ایمیل کاربر دسترسی پیدا می کند. این امر به چند دلیل غیر منتظره بود ، از جمله صندوق پستی هدف محافظت شده توسط MFA. پرونده های ورود به سیستم از سرور Exchange نشان می دهد که مهاجم نام کاربری و رمز عبور را به طور عادی تأیید می کند ، اما برای عامل دوم از طریق Duo مورد اختلاف نیست پرونده های ورود به سیستم از سرور احراز هویت Duo همچنین نشان می دهد که هیچ تلاشی برای ورود به حساب مورد نظر انجام نشده است. Volexity توانست تأیید کند که هواپیماربایی در جلسه دخیل نبوده و با ریختن حافظه بر روی سرور OWA می تواند تأیید کند که مهاجم کوکی مرتبط با جلسه Duo MFA به نام duo-sid را معرفی کرده است.

تحقیقات Volexity در مورد این حادثه نشان داد که مهاجم به کلید مخفی برای ادغام Duo (akey) از سرور OWA دسترسی دارد. این کلید سپس به مهاجم اجازه می دهد تا مقدار از پیش محاسبه شده ای را برای تنظیم در کوکی sid-sid نمایش دهد. پس از موفقیت در تأیید اعتبار رمز ورود ، سرور کوکی duo-sid را ارزیابی و معتبر بودن آن را تشخیص داد. این به مهاجم با دانش حساب کاربر و رمز ورود اجازه می دهد تا سپس MFA تنظیم شده در حساب را به طور کامل دور بزند. این رویداد بر لزوم اطمینان از اطمینان از تغییر همه اسرار مربوط به ادغام های کلیدی ، مانند موارد با یک ارائه دهنده MFA ، پس از نقض ، تأکید می کند. علاوه بر این ، مهم است که گذرواژه ها نه تنها پس از نقض تغییر کنند ، بلکه همچنین گذرواژه ها به چیزی شبیه رمز عبور قبلی تنظیم نشوند (به عنوان مثال Summer2020! در مقابل Spring2020! یا SillyGoo $ e3 در مقابل SillyGoo $ e2).

گزارش Volexity از Dark Halo مشاهدات محققان دیگر را در مورد مهارت بالای هکرها تقویت می کند. Volexity گفت مهاجمین بارها و بارها پس از اعتقاد یکی از مشتریان اتاق فکر به تخلیه این گروه بازگشتند. در پایان ، Volexity گفت ، مهاجمان موفق شدند “برای چندین سال بدون شناسایی باقی بمانند”.

واشنگتن پست و نیویورک تایمز به نقل از مقامات دولتی ناشناس اظهار داشتند که گروه پشت هک ها به دو APT29 و Cozy Bear معروف است ، یک گروه تهدید دائمی پیشرفته که گویا بخشی از روسیه است. سرویس امنیت فدرال (FSB).

در حالی که تامین کننده MFA در این مورد Duo بود ، به راحتی می تواند هر یک از رقبای خود را شامل شود. مدلسازی تهدیدهای MFA معمولاً شامل سازش کامل سیستم سرور OWA نیست. سطح دسترسی به دست آمده توسط هکر کافی بود تا تقریباً از هرگونه محافظت محافظت کند.

Volexity گفت هدف اصلی Dark Halo دریافت ایمیل از افراد خاص در اتاق فکر است. این شرکت امنیتی گفت Dark Halo یک بازیگر تهدید پیچیده است که هیچ ارتباطی با بازیگران تهدید شناخته شده در سطح عمومی ندارد.

[ad_2]

منبع: tarjome-news.ir