Uwierzytelnianie dwuskładnikowe (zwane również 2FA) jest stosowane w celu zapewnienia dodatkowego bezpieczeństwa podczas logowania, które w innym przypadku jest zwykle zabezpieczone tylko hasłem i nazwą użytkownika. W niektórych przypadkach do tego celu wykorzystywane jest również uwierzytelnianie wieloczynnikowe (MFA). Niektóre z tych systemów wykazują obecnie luki w zabezpieczeniach, które wykorzystała grupa ransomware Lapsus$. Ofiarami ataków były między innymi firmy Microsoft, Okta, Nvidia i Samsung.
O tym, co się za tym kryje, można dowiedzieć się tutaj.
Jak działa uwierzytelnianie dwu- lub wieloczynnikowe
W przypadku uwierzytelniania za pomocą innego czynnika oprócz hasła i nazwy użytkownika, wielu dostawców polega na akceptacji powiadomienia push z odpowiedniej aplikacji na smartfonie. Inni pozwalają również klientowi odebrać połączenie, w którym klient musi nacisnąć określony przycisk jako kolejny czynnik.
Ponieważ nie ma limitu prób uwierzytelniania, właśnie w tym miejscu pojawia się grupa Lapsus$.
Hakowanie poprzez "MFA Bombing
Tak zwane "bombardowanie MFA" odnosi się do procesu, w którym atakujący wysyła tyle żądań MFA do odpowiedniego urządzenia użytkownika, aż ten zaakceptuje uwierzytelnienie. W ten sposób osoba nieupoważniona uzyskuje dostęp do konta przy niewielkiej wykrywalności poprzez nowo zarejestrowane przez siebie urządzenie.
"Zadzwoń do pracownika 100 razy o 1 w nocy, gdy próbuje spać, a najprawdopodobniej w końcu odbierze. Gdy pracownik odbierze połączenie, można uzyskać dostęp do portalu rejestracji MFA i zarejestrować kolejne urządzenie" - napisał rzekomo na czacie członek grupy Lapsus$.
Podstawowa procedura "bombardowania MFA" jest dobrze znana. Tym bardziej przerażające jest to, że działała tak często i najwyraźniej nawet niezauważona. Tak było również między innymi w Microsofcie.
Uszkodzenia w Microsoft, Okta, Nvidia i Samsungu
Dopiero od niedawna Microsoft i Okta sprawdzają nieautoryzowany dostęp do serwera.
Microsoft początkowo nie potwierdził nieautoryzowanego dostępu. Początkowo zakładano, że celem napastników było repozytorium z kodem źródłowym Azure DevOps. Ostatnio jednak Microsoft poinformował o atakach, w których sprawcy opublikowali m.in. dużą część kodu źródłowego Binga, Bing Maps i Cortany. W sumie chodziło o 37 GBytów pochodzących z 250 różnych projektów programistycznych.
Okta jest wykorzystywana jako dostawca usług zarządzania tożsamością i dostępem m.in. przez Cloudflare. Cloudflare poinformował o incydencie, ale zapewnił, że nie ma dowodów na kompromitację.
Badacze bezpieczeństwa zwrócili też uwagę, że celem atakujących mogą być dane klientów Okta. Już wcześniej krążyły rzekome wycieki wewnętrznych danych. Później Okta potwierdziła, że już pod koniec stycznia doszło do prób dostępu. Nie udało się wyjaśnić, kto był atakującym; w każdym razie od tego czasu podobno nie było już kolejnych prób.
Nvidia i Samsung rozpoznają już złośliwy kod podpisany certyfikatem od Nvidii, dzięki czemu systemy operacyjne mu ufają. Atakujący rzekomo wyklepali 1 TByte danych od Nvidii. Nvidia odpowiedziała kontratakiem. Lapsus$ stworzył jednak już wcześniej kopię zapasową danych, którą teraz grupa chce opublikować kawałek po kawałku po nieudanych próbach szantażowania Nvidii. Grupa opublikowała 190 GB przechwyconych danych od Samsunga za pośrednictwem torrentów.
Czas pokaże, jak duże mogą być jeszcze potencjalne szkody dla klientów tych wielkich korporacji. W przypadku ataków za pośrednictwem legalnych kont pracowniczych zawsze trudno jest stwierdzić, czy napastnicy rzeczywiście nie mają już sił na swoje psoty w sieciach i skomplikowanych systemach korporacji, czy też zdążyli już zdeponować tam backdoory do przyszłych ataków.
Chcesz wiedzieć, że bezpieczeństwo Twoich informacji jest w dobrych rękach? Zapraszamy do kontaktu z naszym zespołem ekspertów!