Агенцтва па кібербяспецы і бяспекі інфраструктуры ЗША (CISA) заявіла, што кіберзлачынцы паспяхова праходзяць пратаколы аўтэнтыфікацыі з шматфактарнага аўтэнтыфікацыяй (MFA) у мэтах кампраметацыі уліковых запісаў некаторых хмарных службаў.
У афіцыйнай заяве агенцтва сказана наступнае: «CISA валодае дакладнай інфармацыяй пра тое, што нядаўна былі праведзены паспяховыя хакерскія атакі на хмарныя сэрвісы розных арганізацый ЗША. Кіберзлачынцы, якія прымалі ўдзел у нападах, карысталіся рознымі прыёмамі і тактыка, у тым ліку фішынгам, спробамі ўваходу ў сістэму па метадзе грубай сілы, нападамі тыпу «pass-the-cookie» і многімі іншымі. Гэта дазваляла ім знайсці слабыя месцы ў сістэмах бяспекі хмарных сэрвісаў арганізацый-ахвяраў ».
У CISA адзначаюць, што кіберзлачынцы даўно навучыліся атрымліваць доступ да некаторых хмарным актываў ахвяр з дапамогай нападаў грубай сілы, але часцяком хакеры трывалі няўдачу з-за немагчымасці адгадаць правільныя ўліковыя дадзеныя або з-за уключанай у ахвяры аўтэнтыфікацыі MFA.
Але як мінімум у адным нядаўнім інцыдэнце бяспекі хакеры змаглі паспяхова ўвайсці ў ўліковы запіс карыстальніка нават пры наяўнасці уключанай шматфактарнага аўтэнтыфікацыі (MFA).
У CISA мяркуюць, што хакерам атрымалася «перамагчы пратаколы аўтэнтыфікацыі MFA ў рамках атакі« pass-the-cookie ». Пад час адной такой кібератакі хакеры захопліваюць ўжо аўтэнтыфікаваных сеанс, выкарыстоўваючы скрадзеныя сеансовом файлы cookie для аўтарызацыі ў онлайн-сэрвісах і вэб-прыкладаннях.
Агенцтва па кібербяспецы і бяспекі інфраструктуры таксама зарэгістравала факты выкарыстання кіберзлачынцамі першапачатковага доступу, які быў атрыманы пасля фішынгу уліковых дадзеных супрацоўнікаў, для фішынгу зусім іншых уліковых карыстацкіх запісаў у той жа арганізацыі.
Пры іншых Кібератакі экспертамі CISA было заўважана, што хакеры мянялі або наладжвалі правы перасылкі email-лістоў і правілы пошуку для аўтаматычнага збору канфідэнцыйных дадзеных і фінансавай інфармацыі з скампраметаваных уліковых запісаў паштовых сэрвісаў.
«Акрамя змены наяўных правілаў электроннай пошты для карыстальнікаў, кіберзлачынцы таксама стваралі новыя правілы для паштовых скрынь, з-за чаго адбывалася аўтаматычнае перанакіраванне атрыманых карыстальнікам лістоў у каналы Really Simple Syndication (RSS) іншых рэальных карыстальнікаў. Гэта было зроблена, каб ахвяры не бачылі ніякіх папярэджанняў аб шкоднаснай актыўнасці », - рэзюмавалі ў CISA.
ФБР раней ужо папярэджвала арганізацыі ЗША аб тым, што хакеры злоўжываюць правіламі аўтаматычнай пераадрасацыі ў вэб-кліентах электроннай пошты ў Кібератакі кампраметацыі дзелавой электроннай пошты (BEC).
Больш цікавага матэрыялу на cisoclub.ru. Падпісвайцеся на нас: Facebook | VK | Twitter | Instagram | Telegram | дзэн | мессенджер | ICQ New | YouTube | Pulse.