СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
14.01.2021
#ИБ#Облака

CISA: хакеры успешно обходят MFA учетных записей облачных сервисов

CISA: хакеры успешно обходят MFA учетных записей облачных сервисов

Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) заявило, что киберпреступники успешно проходят протоколы аутентификации с многофакторной аутентификацией (MFA) в целях компрометации учетных записей некоторых облачных служб.

В официальном заявлении агентства сказано следующее: «CISA располагает достоверной информацией о том, что недавно были проведены успешные хакерские атаки на облачные сервисы различных организаций США. Киберпреступники, принимавшие участие в атаках, пользовались различными приемами и тактиками, в том числе фишингом, попытками входа в систему по методу грубой силы, атаками типа «pass-the-cookie» и многими другими. Это позволяло им найти слабые места в системах безопасности облачных сервисов организаций-жертв».

В CISA отмечают, что киберпреступники давно научились получать доступ к некоторым облачным активам жертв с помощью атак грубой силы, но зачастую хакеры терпели неудачу из-за невозможности угадать правильные учетные данные или из-за включенной у жертвы аутентификации MFA.

Но как минимум в одном недавнем инциденте безопасности хакеры смогли успешно войти в учетную запись пользователя даже при наличии включенной многофакторной аутентификации (MFA).

В CISA предполагают, что хакерам удалось «победить протоколы аутентификации MFA в рамках атаки «pass-the-cookie». Во время такой кибератаки хакеры захватывают уже аутентифицированный сеанс, используя украденные сеансовые файлы cookie для авторизации в онлайн-сервисах и веб-приложениях.

Агентство по кибербезопасности и безопасности инфраструктуры также зарегистрировало факты использования киберпреступниками первоначального доступа, который был получен после фишинга учетных данных сотрудников, для фишинга совершенно других учетных пользовательских записей в той же организации.

При других кибератаках экспертами CISA было замечено, что хакеры меняли или настраивали права пересылки email-писем и правила поиска для автоматического сбора конфиденциальных данных и финансовой информации из скомпрометированных учетных записей почтовых сервисов.

«Кроме изменения имеющихся правил электронной почты для пользователей, киберпреступники также создавали новые правила для почтовых ящиков, из-за чего происходило автоматическое перенаправление полученных пользователем писем в каналы Really Simple Syndication (RSS) других реальных пользователей. Это было сделано, чтобы жертвы не видели никаких предупреждений о вредоносной активности», – резюмировали в CISA.

ФБР ранее уже предупреждало организации США о том, что хакеры злоупотребляют правилами автоматической переадресации в веб-клиентах электронной почты в кибератаках компрометации деловой электронной почты (BEC).

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: