Gli hacker dietro l'attacco alla catena di fornitura che ha compromesso le organizzazioni pubbliche e private hanno escogitato un modo intelligente per aggirare i sistemi di autenticazione a più fattori che proteggono le reti che prendono di mira.
I ricercatori della società di sicurezza Volexity hanno dichiarato lunedì di aver incontrato gli stessi aggressori tra la fine del 2019 e l'inizio del 2020 mentre erano penetrati in profondità all'interno di un'organizzazione di think tank non meno di tre volte.
Durante una delle intrusioni, i ricercatori di Volexity hanno notato che gli hacker utilizzavano una nuova tecnica per aggirare le protezioni MFA fornite da Duo. Dopo aver ottenuto i privilegi di amministratore sulla rete infetta, gli hacker hanno utilizzato questi diritti illimitati per rubare un segreto Duo noto come chiave da un server che esegue Outlook Web App, che le aziende utilizzano per fornire l'autenticazione dell'account per vari servizi di rete.
Gli hacker hanno quindi utilizzato akey per generare un cookie, in modo che lo avessero pronto quando qualcuno con il nome utente e la password corretti ne avrebbe avuto bisogno quando avrebbe preso il controllo di un account. Volexity si riferisce al gruppo di hacker sponsorizzato dallo stato come Dark Halo. I ricercatori Damien Cash, Matthew Meltzer, Sean Koessel, Steven Adair e Thomas Lancaster hanno scritto:
Verso la fine del secondo incidente in cui Volexity ha lavorato con Dark Halo, l'attore è stato osservato mentre accedeva all'account di posta elettronica di un utente tramite OWA. Ciò era imprevisto per alcuni motivi, non ultimo il fatto che la cassetta postale di destinazione era protetta da MFA. I registri del server Exchange hanno mostrato che l'aggressore ha fornito l'autenticazione di nome utente e password normalmente, ma non è stato contestato per un secondo fattore tramite Duo. I registri del server di autenticazione Duo hanno inoltre dimostrato che non sono stati effettuati tentativi di accesso all'account in questione. Volexity è stata in grado di confermare che il dirottamento della sessione non era coinvolto e, attraverso un dump della memoria del server OWA, ha potuto anche confermare che l'aggressore aveva presentato un cookie legato a una sessione Duo MFA denominata duo-sid.
L'indagine di Volexity su questo incidente ha determinato che l'aggressore aveva avuto accesso alla chiave segreta di integrazione Duo (akey) dal server OWA. Questa chiave ha quindi consentito all'autore dell'attacco di derivare un valore precalcolato da impostare nel cookie duo-sid. Dopo una corretta autenticazione della password, il server ha valutato il cookie duo-sid e ne ha determinato la validità. Ciò ha consentito all'autore dell'attacco con la conoscenza di un account utente e di una password di bypassare completamente l'MFA impostato sull'account. Questo evento sottolinea la necessità di garantire che tutti i segreti associati alle integrazioni chiave, come quelli con un provider MFA, debbano essere modificati in seguito a una violazione. Inoltre, è importante che non solo le password vengano modificate dopo una violazione, ma che le password non siano impostate su qualcosa di simile alla password precedente (ad esempio, Summer2020! Contro Spring2020! O SillyGoo $ e3 contro SillyGoo $ e2).
Il resoconto di Volexity su Dark Halo rafforza le osservazioni fatte da altri ricercatori sul fatto che gli hacker siano altamente qualificati. Volexity ha detto che gli aggressori sono tornati ripetutamente dopo che il cliente del think tank ha creduto che il gruppo fosse stato espulso. Alla fine, ha detto Volexity, gli aggressori sono stati in grado di "rimanere inosservati per diversi anni".
Annuncio pubblicitario
Sia il Washington Post che il New York Times hanno citato persone del governo garantite l'anonimato dicendo che il gruppo dietro gli hack era noto sia come APT29 che Cozy Bear, un gruppo avanzato di minacce persistenti ritenuto parte del Servizio di sicurezza federale russo (FSB).
Sebbene il fornitore di MFA in questo caso fosse Duo, altrettanto facilmente avrebbe potuto coinvolgere uno qualsiasi dei suoi concorrenti. La modellazione delle minacce MFA generalmente non include una completa compromissione del sistema di un server OWA. Il livello di accesso raggiunto dall'hacker è stato sufficiente per neutralizzare qualsiasi difesa.
In una dichiarazione, i funzionari di Duo hanno scritto:
Duo Security di Cisco è a conoscenza di un recente post sul blog di un ricercatore sulla sicurezza che discute di più incidenti di sicurezza osservati nel corso dell'ultimo anno da un particolare gruppo di attori di minacce. Uno di questi incidenti riguardava l'integrazione di Duo per Outlook Web Application (OWA).
Gli incidenti descritti non erano dovuti ad alcuna vulnerabilità nei prodotti Duo.
Piuttosto, il post descrive un utente malintenzionato che ha ottenuto un accesso privilegiato alle credenziali di integrazione, che sono parte integrante della gestione del servizio Duo, dall'interno di un ambiente cliente compromesso esistente, come un server di posta elettronica.
Per ridurre la probabilità di un tale evento, è fondamentale proteggere i segreti dell'integrazione dall'esposizione all'interno di un'organizzazione e ruotare i segreti se si sospetta una compromissione. La compromissione di un servizio integrato con un provider MFA può comportare la divulgazione di segreti di integrazione insieme al potenziale accesso a un sistema e ai dati protetti da MFA.
Volexity ha affermato che l'obiettivo principale di Dark Halo era ottenere e-mail di individui specifici all'interno del think tank. La società di sicurezza ha affermato che Dark Halo è un sofisticato attore di minacce che non aveva collegamenti con alcun attore di minacce noto pubblicamente.
Post aggiornato per aggiungere un commento da Duo.
