Microsoft odhalil novú taktiku hackerov zo Storm-2949. Do účtu sa nedostanú cez vírus, stačí im výzva, ktorú obeť sama potvrdí

Hackeri zo Storm-2949 zneužívajú reset hesla a MFA výzvy v službách Microsoftu. Stačí jedno potvrdenie v mobile a útočník môže získať prístup k účtu, dátam aj firemnému cloudu.

podvodny hovor ako zastavit
Zdroj: Vosveteit.sk

Predstav si, že ti zavolá údajný pracovník IT podpory a povie ti, že musíš potvrdiť overenie účtu. V mobile sa ti naozaj objaví výzva od Microsoftu, takže všetko pôsobí dôveryhodne. Lenže práve v tej chvíli môžeš hackerovi otvoriť dvere do svojho firemného účtu. Nepotrebuje ti poslať vírus ani škodlivú prílohu. Stačí, že schváliš výzvu, ktorú schváliť nemáš.

Presne na podobnom princípe stojí útok skupiny označovanej ako Storm-2949. Podľa bezpečnostných analytikov Microsoftu nejde o náhodnú kampaň, kde útočníci skúšajú šťastie na tisíckach ľudí. Naopak, ide o premyslenú operáciu, pri ktorej sa hackeri zamerali na konkrétnych používateľov a ich firemné účty. Cieľ je získať prístup k identite používateľa a potom z nej vytiahnuť čo najviac dát.

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

Najnebezpečnejšie na tomto útoku je, že sa nezačína ako klasický hack. Útočníci nestavia celý plán na tom, že si používateľ stiahne škodlivý program. Namiesto toho zneužívajú procesy, ktoré majú ľuďom pomáhať, napríklad reset hesla a viacfaktorové overenie. Inými slovami, používajú dôveryhodný bezpečnostný mechanizmus proti samotnej obeti.

Jedným z kľúčových prvkov kampane bol mechanizmus Self-Service Password Reset, skrátene SSPR. Ide o funkciu, ktorú firmy používajú v prostredí Microsoftu vtedy, keď si zamestnanec potrebuje obnoviť prístup k účtu, napríklad po zabudnutí hesla. Za normálnych okolností ide o užitočný nástroj. Problém nastane vtedy, keď útočník spustí reset hesla za obeť a zároveň ju presvedčí, aby celý proces sama potvrdila.

Postup útočníkov bol pritom veľmi jednoduchý na pochopenie, no o to nebezpečnejší. Vybrali si konkrétneho používateľa, spustili proces obnovy hesla a následne ho kontaktovali pod zámienkou technickej podpory. Obeť mohla počuť príbeh o kontrole účtu, bezpečnostnom overení alebo internom IT procese. V mobile sa jej následne zobrazila MFA výzva, teda výzva na potvrdenie identity. Ak ju schválila, útočník získal priestor na prevzatie účtu.

Reklama
Priebeh útoku
Priebeh útoku, Zdroj: Microsoft

Jedno potvrdenie v mobile môže stačiť na prevzatie účtu

Po schválení výzvy útočníci nezískali len jednorazový prístup. Podľa Microsoftu dokázali po resetovaní hesla odstrániť pôvodné overovacie metódy používateľa, napríklad telefónne číslo, e-mail alebo registráciu v Microsoft Authenticatori. Následne si pridali vlastnú overovaciu metódu na svojom zariadení. To znamená, že legitímny používateľ sa mohol zrazu ocitnúť mimo vlastného účtu, zatiaľ čo útočník mal prístup ďalej.

Nešlo teda o obyčajnú krádež hesla v štýle falošnej prihlasovacej stránky. Obeť mohla mať pocit, že len potvrdzuje legitímnu požiadavku od Microsoftu alebo firemného IT oddelenia. Práve preto je tento typ útoku taký zradný. Systém síce technicky funguje správne, no človek pred obrazovkou alebo telefónom je zmanipulovaný.

Po prevzatí účtu začala ďalšia časť operácie. Útočníci sa snažili zistiť, kam všade sa cez danú identitu dostanú. Využívali pritom služby Microsoft 365, najmä OneDrive a SharePoint, kde firmy často ukladajú pracovné dokumenty, interné návody, technické postupy či súbory súvisiace s prístupom do ďalších systémov.

Microsoft upozorňuje, že v jednom prípade útočníci použili webové rozhranie OneDrive na stiahnutie tisícov súborov naraz. Tento postup potom opakovali pri viacerých kompromitovaných účtoch. Dáva to logiku. Každý zamestnanec má totiž prístup k iným priečinkom, zdieľaným adresárom a dokumentom. Keď útočník ovládne viac účtov, postupne si skladá obraz o celej firme.

Útok sa nezastavil pri OneDrive, hackeri mierili hlbšie do cloudu

Najvážnejšia časť celého prípadu prišla až potom. Storm-2949 sa podľa Microsoftu neuspokojil len so sťahovaním dokumentov z Microsoft 365. Keď útočníci získali účty s vyššími oprávneniami v Azure, začali sa presúvať k produkčným aplikáciám, databázam a cloudovej infraštruktúre. To je rozdiel medzi útokom na jednu schránku a útokom na celé firemné cloudové prostredie.

V praxi to znamená, že útočníci sa zamerali na služby ako Azure App Services, Azure Key Vault, Azure Storage, SQL databázy a virtuálne stroje. Pre bežného čitateľa to môže znieť technicky, no pointa je jednoduchá. Ak Microsoft 365 predstavuje firemné dokumenty a komunikáciu, Azure môže byť miesto, kde bežia samotné aplikácie, databázy a citlivé systémy firmy.

Veľkú úlohu v útoku zohral Azure Key Vault. Predstav si ho ako digitálny trezor, v ktorom firma drží heslá, prístupové kľúče, connection stringy a ďalšie tajomstvá potrebné na chod aplikácií. Ak sa útočník dostane do takéhoto trezoru, nemusí zložito hádať heslá. Môže nájsť rovno údaje, ktoré mu otvoria ďalšie dvere. Podľa Microsoftu dokázali útočníci v priebehu niekoľkých minút upraviť prístupy a získať desiatky uložených tajomstiev.

Útočníci zároveň menili aj pravidlá firewallu pri SQL serveri a nastavenia prístupu ku cloudovým úložiskám. Jednoducho povedané, najskôr si otvorili cestu zo svojich IP adries, následne sa pripojili k dátam a potom sa pokúšali niektoré stopy odstrániť. To ukazuje, že nešlo o chaotický útok, ale o premyslený pohyb cez legitímne cloudové funkcie.

ruski hackeri
Zdroj: Rokas Tenys / Shutterstock.com

Hackeri použili aj nástroje, ktoré bežne využívajú administrátori

Ďalším problémom je, že Storm-2949 sa nespoliehal len na ukradnuté účty. Útočníci podľa Microsoftu zneužívali aj administrátorské funkcie Azure virtuálnych strojov, napríklad Run Command a VMAccess. Ide o nástroje, ktoré majú správcom pomáhať pri obnove prístupu alebo vzdialenom spúšťaní príkazov. V nesprávnych rukách sa však z nich stáva spôsob, ako si vytvoriť ďalší prístup do systému.

Microsoft opisuje aj nasadenie nástroja ScreenConnect, ktorý sa bežne používa na vzdialenú správu počítačov. Na tom je celý prípad ešte nepríjemnejší. Na prvý pohľad totiž nemusí ísť o podozrivý vírus, ale o nástroj, ktorý sa v mnohých firmách môže spájať s technickou podporou. Útočníci sa zároveň pokúšali oslabiť ochranu Microsoft Defender Antivirus, mazať stopy a maskovať svoju aktivitu tak, aby vyzerala ako bežná administrátorská práca.

Práve preto je tento útok varovaním pre firmy, ktoré sa spoliehajú len na to, že používateľ má zapnuté MFA. Viacfaktorové overenie je dôležité, no samo osebe nestačí, ak používateľ nevie, kedy výzvu nemá schváliť. A nestačí ani vtedy, keď majú účty príliš široké oprávnenia a útočník po ich prevzatí získa prístup k veľkej časti cloudovej infraštruktúry.

Dvoj faktorova autentifikacia
Zdroj: Vosveteit.sk, AI

Firmy musia chrániť nielen heslá, ale aj oprávnenia v cloude

Microsoft označuje túto operáciu za metodickú, sofistikovanú a viacvrstvovú. Odporúčania preto nesmerujú len k bežným používateľom, ale najmä k organizáciám a ich administrátorom. Základom je obmedziť oprávnenia v Azure RBAC tak, aby používatelia nemali prístup k veciam, ktoré na svoju prácu nepotrebujú. Ak sa potom účet dostane do nesprávnych rúk, škody môžu byť menšie.

Dôležité je aj monitorovanie rizikových operácií, najmä pri službách ako Azure Key Vault, Storage účty, SQL databázy a virtuálne stroje. Firmy by mali uchovávať bezpečnostné logy dostatočne dlho, obmedziť verejný prístup k citlivým službám a pravidelne kontrolovať, kto má vysoké oprávnenia. Privilegovaný účet je pre útočníka najcennejší. Neotvára mu totiž len jednu schránku, ale často celé dvere do firemného cloudu.

Používatelia by si z toho mali odniesť jednoduché pravidlo. Ak ti niekto zavolá a žiada ťa, aby si schválil overenie v mobile, musíš spozornieť. Aj keď výzva vyzerá legitímne. Aj keď sa volajúci tvári ako IT podpora. MFA výzvu máš potvrdzovať len vtedy, keď si sám začal prihlasovanie alebo obnovu účtu.

Obrana voči takýmto útokom nikdy nebude stáť len na jednom opatrení. Školenia zamestnancov pomôžu, no samy o sebe nestačia. Rovnako nestačí len zapnuté MFA. Firmy musia sledovať aj to, čo sa deje po prihlásení používateľa, aké má oprávnenia a či sa v cloude nedeje niečo, čo pripomína útok. Pretože v tomto prípade hacker nepotreboval rozbiť dvere. Stačilo, že ho niekto pustil dnu cez oficiálny vchod.

Google News Pridajte si Vosveteit.sk ako preferovaný zdroj informácií na Google Pridať