Los piratas informáticos de Lapsus$ y SolarWinds usan el mismo viejo truco para eludir MFA

Los piratas informáticos de Lapsus$ y SolarWinds usan el mismo viejo truco para eludir MFA

imágenes falsas

La autenticación multifactor (MFA) es una defensa central que se encuentra entre las más efectivas para prevenir la apropiación de cuentas. Además de exigir que los usuarios proporcionen un nombre de usuario y una contraseña, MFA garantiza que también deben usar un factor adicional, ya sea una huella digital, una clave de seguridad física o una contraseña de un solo uso, antes de que puedan acceder a una cuenta. Nada en este artículo debe interpretarse como que MFA no es más que esencial.

Dicho esto, algunas formas de MFA son más fuertes que otras, y los eventos reci entes muestran que estas formas más débiles no son un gran obstáculo para que algunos piratas informáticos las eliminen. En los últimos meses, presuntos niños guionistas como la pandilla de extorsión de datos Lapsus$ y los actores de amenazas de élite del estado ruso (como Cozy Bear, el grupo detrás del hackeo de SolarWinds) han derrotado con éxito la protección.

Ingrese el bombardeo rápido de MFA

Las formas más fuertes de MFA se basan en un marco llamado FIDO2, que fue desarrollado por un consorcio de empresas que equilibran las necesidades de seguridad y simplicidad de uso. Brinda a los usuarios finales la opción de usar lectores de huellas dactilares o cámaras integradas en los dispositivos o claves de seguridad dedicadas para confirmar que están autorizados a acceder a una cuenta. Las formas FIDO2 de MFA son relativamente nuevas, por lo que muchos servicios tanto para consumidores como para grandes organizaciones aún no las han adoptado.

Ahí es donde entran las formas más antiguas y más débiles de MFA. Incluyen contraseñas de un solo uso enviadas a través de SMS o generadas por aplicaciones móviles como Google Authenticator o notificaciones automáticas enviadas a un dispositivo móvil. Cuando alguien inicia sesión con una contraseña válida, también debe ingresar la contraseña de un solo uso en un campo en la pantalla de inicio de sesión o presionar un botón que se muestra en la pantalla de su teléfono.

Es esta última forma de autenticación la que, según informes recientes, se está pasando por alto. Un grupo que usa esta técnica, según a la firma de seguridad Mandiant, es Cozy Bear, una banda de piratas informáticos de élite que trabajan para el Servicio de Inteligencia Exterior de Rusia. El grupo también se conoce con los nombres de Nobelium, APT29 y Dukes.

“Muchos proveedores de MFA permiten a los usuarios aceptar una notificación automática de la aplicación del teléfono o recibir una llamada telefónica y presionar una tecla como segundo factor”, escribieron los investigadores de Mandiant. “Los [Nobelium] El actor de amenazas se aprovechó de esto y emitió múltiples solicitudes de MFA al dispositivo legítimo del usuario final hasta que el usuario aceptó la autenticación, lo que permitió que el actor de amenazas finalmente obtuviera acceso a la cuenta”.

Lapsus$, una banda de piratas informáticos que ha violado Microsoft, Okta y Nvidia en los últimos meses, también ha utilizado la técnica.

“No se pone límite a la cantidad de llamadas que se pueden hacer”, escribió un miembro de Lapsus$ en el canal oficial de Telegram del grupo. “Llama al empleado 100 veces a la 1 a. m. mientras intenta dormir y lo más probable es que lo acepte. Una vez que el empleado acepta la llamada inicial, puede acceder al portal de inscripción de MFA e inscribir otro dispositivo”.

El miembro de Lapsus$ afirmó que la técnica de bombardeo rápido de MFA fue efectiva contra Microsoft, que a principios de esta semana dijo que el grupo de piratería pudo acceder a la computadora portátil de uno de sus empleados.

“¡Incluso Microsoft!” la persona escribió. “Pude iniciar sesión en la VPN de Microsoft de un empleado de Alemania y EE. UU. al mismo tiempo y ni siquiera pareció darse cuenta. También pude volver a inscribirme en MFA dos veces”.

Mike Grover, un vendedor de herramientas de piratería del equipo rojo para profesionales de la seguridad y consultor del equipo rojo que utiliza el nombre de usuario de Twitter. _MG_, me dijo que la técnica es “fundamentalmente un método único que toma muchas formas: engañar al usuario para que reconozca una solicitud de MFA. ‘Bombardeo MFA’ se ha convertido rápidamente en un descriptor, pero esto pasa por alto los métodos más sigilosos”.

Los métodos incluyen:

  • Enviar un montón de solicitudes de MFA y esperar que el objetivo finalmente acepte una para detener el ruido.
  • Envío de uno o dos avisos por día. Este método a menudo atrae menos atención, pero “todavía hay una buena posibilidad de que el objetivo acepte la solicitud de MFA”.
  • Llamar al objetivo, fingir ser parte de la empresa y decirle al objetivo que debe enviar una solicitud de MFA como parte de un proceso de la empresa.

“Esos son solo algunos ejemplos”, dijo Grover, pero es importante saber que los bombardeos masivos NO son la única forma que toma.

en un Hilo de Twitter, escribió, “Los equipos rojos han estado jugando con variantes de esto durante años. Ha ayudado a las empresas que tienen la suerte de tener un equipo rojo. Pero los atacantes del mundo real están avanzando en esto más rápido de lo que ha mejorado la postura colectiva de la mayoría de las empresas”.

Otros investigadores se apresuraron a señalar que la técnica de solicitud de MFA no es nueva.

“Lapsus$ no inventó el ‘bombardeo rápido de MFA’”, Greg Linares, un profesional del equipo rojo, tuiteó. “Por favor, deja de darles crédito… como su creación. Este vector de ataque ha sido una cosa utilizada en ataques del mundo real 2 años antes de que lapsus fuera una cosa”.

Leave a Reply

Your email address will not be published. Required fields are marked *