Взломавшие SolarWinds хакеры обошли многофакторную аутентификацию
16 декабря 2020 года
Как писал ранее SecurityLab, 13 декабря компания SolarWinds сообщила о том, что стала жертвой кибератаки на цепочку поставок. Финансируемые иностранным правительством хакеры взломали сети американского производителя ПО и внедрили вредоносное обновление для его ПО Orion с целью заражения сетей использующих его правительственных и коммерческих организаций.
Специалисты FireEye дали киберпреступной группировке нейтральное кодовое название UNC2452. Эксперты из ИБ-компании Volexity, отслеживающие данную группировку как Dark Halo, сообщили, что за последние два года она как минимум трижды атаковала некий американский аналитический центр.
В ходе одной из атак хакеры использовали новую технику для обхода мультифакторной аутентификации, предоставляемой компанией Duo. Получив права администратора в зараженной сети, преступники похитили ключ с сервера с запущенным Outlook Web App (OWA), который предприятия используют для аутентификации учетной записи для различных сетевых служб. Затем хакеры использовали ключ для создания cookie-файла, необходимого для дальнейшего перехвата контроля над учетной записью.
В ходе второго инцидента Dark Halo получила доступ к учетной записи электронной почты пользователя через web-клиент OWA, который был защищен мультифакторной аутентификацией. Злоумышленники получили доступ к секретному ключу интеграции Duo с сервера OWA и узнали предварительно вычисленное значение, которое будет установлено в cookie-файле duo-sid. После успешной аутентификации по паролю сервер оценил cookie-файл duo-sid и определил, что он действительный. Это позволило злоумышленнику, зная учетную запись пользователя и пароль, затем полностью обойти защиту.
Третий инцидент был связан с вредоносным использованием ПО SolarWinds Orion. В июле 2020 года Volexity выявила подозрительные административные команды и аномалии ActiveSync в среде Exchange организации. Дальнейшая проверка программного обеспечения конечных точек и сетевого трафика организации подтвердила взлом. Злоумышленник выполнил команды для экспорта электронной почты для определенных пользователей в организации, а затем вывел данные через сервер Outlook Web Anywhere (OWA) организации.
Злоумышленники, судя по всему, неплохо разбираются в Exchange. Они сразу же перечисляли различные параметры конфигурации организации через PowerShell, а также использовали файл sqlceip.exe, который на первый взгляд может показаться легитимной версией клиента телеметрии SQL Server, предоставленной Microsoft. Однако инструмент на самом деле был версией AdFind — инструмента командной строки, используемый для запроса и извлечения данных из Active Directory. Хакеры похитили данные электронной почты из целевых учетных записей и создали защищенные паролем архивы на сервере OWA жертвы, чтобы их можно было удалить с помощью простого HTTP-запроса.
Как утверждают специалисты, нападавшие неоднократно возвращались в сеть жертвы после атак. В конечном итоге злоумышленники смогли «оставаться незамеченными в течение нескольких лет».
Источники[править]
Эта статья содержит материалы из статьи «Взломавшие SolarWinds хакеры обошли многофакторную аутентификацию», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.