Lapsus$ og Cozy Bear brugte samme trick til at omgå MFA

Nogle MFA-teknikker er mere sikre end andre.

De to grupper, der har stået bag det seneste års mest spektakulære hackersager, har brugt samme teknik til kompromittering af deres angrebsmål. Det skriver mediet Ars Technica i en længere og lærerig artikel om det, som ellers anses for at være den stærkeste beskyttelse mod overtagelse af konti: Multifaktorautentifikation (MFA).

Men ikke al MFA er lige godt, hvilket de to sager med trusselsaktørerne Lapsus$ og Cozy Bear viser. Det er almindeligt kendt, at russiske Cozy Bear stod bag angrebet på Solarwinds, mens Lapsus$ - angiveligt en drengebande (m/k) fra England, såkaldt scriptkiddies – havde held og dygtighed til at kompromittere Microsofts Azure DevOps-server, som vi skrev om i sidste uge.  

SMS-koder og authenicator-apps ikke sikre nok

Begge grupper har nemlig omgået MFA til at komme ind; den type MFA, hvor den anden faktor har været en pushbesked fra en telefonapp eller et telefonopkald/sms og et tryk på en tast. I tilfældet Cozy Bear har gruppen udnyttet denne funktion og udstedt flere MFA-anmodninger til slutbrugerens legitime enhed, indtil brugeren accepterede godkendelsen. Dette gjorde det muligt for trusselsaktøren til sidst at få adgang til kontoen, skriver Ars Technica.

Også Lapsus$-gruppen brugte samme teknik og var så venlig at tale åbent om det på sin officielle Telegram-kanal. ’Ring til medarbejderen 100 gange kl. 1, mens han prøver at sove, og han vil højst sandsynligt acceptere det. Når medarbejderen har accepteret det første opkald, kan du få adgang til MFA-tilmeldingsportalen og tilmelde en anden enhed.

Lapsus$ hævdede, at MFA-prompt-bombeteknikken var effektiv mod Microsoft, som ifm. offentliggørelsen af hacket mod Microsofts Azure DevOps-server tidligere på ugen oplyste, at hackergruppen var i stand til at få adgang til en af ​​dens ansattes bærbare computer. Og derfra komme ind.

Atter er mennesket det svage led i kæden

Ars Technica har talt med en sikkerhedskonsulent om metoderne, som tilsyneladende er enkle:

  • Send en masse MFA-anmodninger i håbet om, at modtageren accepterer én for at få støjen til at stoppe.
  • Send en eller to meddelelser om dagen. Denne metode tiltrækker ofte mindre opmærksomhed, men ’der er stadig en god chance for, at målet vil acceptere MFA-anmodningen.’
  • Ring til modtageren, foregiv at være en del af virksomheden og fortæl, at der skal sendes en MFA-anmodning som en del af en virksomhedsproces.

Mennesket er således atter indgangsvejen til kompromittering – også i en MFA-tænkning. Hvilket betyder, at man som organisation, der har implementeret en af disse mindre sikre MFA-løsninger i al fald skal gøre sine medarbejdere opmærksomme på, at det kan være et angrebsforsøg på virksomheden, hvis medarbejderne bliver udsat for ’MFA-bombing’.

DKCERT vil tillade sig at bemærke, at denne artikels ordlyd ikke betyder, at en organisation bør gå væk fra MFA; MFA vil altid være bedre end enkeltfaktorautentifikation som fx brugernavn + kodeord. Men at en organisation bør overveje, om den rette MFA-teknologi bliver anvendt i forhold til risikoen for kompromittering.

Links:

https://arstechnica.com/information-technology/2022/03/lapsus-and-solar-winds-hackers-both-use-the-same-old-trick-to-bypass-mfa/

https://cert.dk/da/news/2022-03-24/S%C3%A5dan-kom-Lapsus%24-ind

Keywords: