خمّن المهاجمون كلمة مرور حساب خامل وتمكنوا من تطبيق أسلوب العائالت المتعددة الخاص بهم عليه – مما وفر الوصول إلى شبكة الضحية.
حذر باحثون من أن مجرمي الإنترنت يستغلون حسابات Microsoft الخاملة لتجاوز المصادقة متعددة العوامل (MFA) والوصول إلى الخدمات والشبكات السحابية.
تم تفصيل هذه التقنية من قبل باحثين في الأمن السيبراني في Mandiant ، الذين قالوا إن الاستغلال يتم استخدامه في حملات القرصنة بواسطة APT29 – المعروفة أيضًا باسم Cozy Bear – وهي عملية قرصنة وتجسس يُعتقد على نطاق واسع أنها مرتبطة بجهاز الاستخبارات الأجنبية الروسي (SVR). يُعتقد أن مجموعات التهديد السيبراني الهجومية الأخرى تستخدم نفس التكتيكات.
تعد المصادقة متعددة العوامل أداة مفيدة للمؤسسات التي تتطلع إلى منع عمليات الاستيلاء على الحسابات والهجمات الإلكترونية ضد الخدمات السحابية وأجزاء أخرى من الشبكة. ومع ذلك ، في حين أنه فعال للغاية في الدفاع ضد الاختراقات ، فإنه ليس معصومًا عن الخطأ ويجد المهاجمون الإلكترونيون طرقًا للتغلب عليه.
وفقًا لـ Mandiant ، يستغل مجرمو الإنترنت عملية التسجيل الذاتي لتطبيق MFA على Microsoft Azure Active Directory والأنظمة الأساسية الأخرى للتحكم في Microsoft 365 والحسابات الأخرى.
انظر: يجد المتسللون طرقًا حول المصادقة متعددة العوامل. إليك ما يجب مراقبته
عندما تطرح المؤسسات أسلوب العائالت المتعددة MFA لأول مرة للمستخدمين ، تسمح العديد من الأنظمة الأساسية للمستخدمين بتسجيل جهاز MFA الخاص بهم – عادةً هواتفهم الذكية – في المرة التالية التي يسجلون فيها الدخول. غالبًا ما يتم اتباع هذه العملية لأنها الطريقة الأكثر فاعلية لتزويد أكبر عدد ممكن من المستخدمين بـ MFA للمساعدة في تأمين حساباتهم.
ولكن كما يشير الباحثون ، إذا لم يكن هناك تحقق إضافي حول عملية التسجيل في MFA ، يمكن لأي شخص يعرف اسم المستخدم وكلمة المرور لحساب ما أن يطبق عليه المصادقة متعددة العوامل ، طالما أنه أول شخص يقوم بذلك – والمتسللين تستخدم هذا للوصول إلى الحسابات.
في إحدى الحالات المفصلة من قبل Mandiant ، تمكن المهاجمون المنسوبون إلى APT29 من الوصول إلى قائمة بصناديق البريد غير المكشوف التي حصلوا عليها من خلال وسائل غير معروفة وتمكنوا بنجاح من تخمين كلمة مرور حساب تم إعداده ، ولكن لم يتم استخدامه مطلقًا.
المهاجم الذي طلبته Azure Active Directory لإعداد مصادقة متعددة العوامل لم يتحكم في الحساب فحسب ، بل كان قادرًا أيضًا على ربط MFA بجهاز يمتلكه ، مستغلًا MFA لتزويدهم بإمكانية الوصول إلى الحساب بدلاً من إبقائهم خارجًا .
ميزة ZDNET الخاصة: تأمين السحابة
من هنا ، كان المهاجمون قادرين على استخدام الحساب للوصول إلى البنية التحتية للشبكة الخاصة الافتراضية الخاصة بالمنظمة الضحية. لا يكشف الباحثون عن الضحية أو الهدف من هذا الهجوم – على الرغم من أنه من المعروف أن APT29 تستهدف مصالح الولايات المتحدة ومصالح الناتو والدول الشريكة.
تُظهر الحادثة أنه حتى مع تطبيق أسلوب العائالت المتعددة MFA ، يمكن لمجرمي الإنترنت تجاوز ميزات الحماية للوصول إلى الحسابات الخاملة واستغلالها – وهو أمر قد لا يتم اكتشافه لبعض الوقت.
لمواجهة ذلك ، يوصى بأن تضمن المؤسسات وضع تدابير حماية إضافية للتحقق من شرعية المستخدم الذي قام بتسجيل الحساب.
قال دوجلاس بينستوك ، مدير الاستجابة للحوادث في Mandiant ، “يمكن للمؤسسات تقييد تسجيل أجهزة MFA على المواقع الموثوقة فقط ، مثل الشبكة الداخلية ، أو الأجهزة الموثوقة. ويمكن أيضًا للمؤسسات أن تختار طلب MFA لتسجيل MFA”.
“لتجنب موقف الدجاجة والبيضة الذي ينشأ عن هذا الأمر ، يمكن لموظفي مكتب المساعدة إصدار تصاريح دخول مؤقتة للموظفين عند انضمامهم لأول مرة أو في حالة فقدهم لجهاز MFA الخاص بهم. يمكن استخدام البطاقة لفترة محدودة لتسجيل الدخول ، وتجاوز MFA ، وتسجيل جهاز جديد MFA “.
طرحت Microsoft مؤخرًا ميزة تسمح للمؤسسات بفرض ضوابط حول تسجيل جهاز MFA ، والتي يمكن أن تساعد في منع مجرمي الإنترنت من الوصول إلى الحسابات. اتصلت ZDNET بشركة Microsoft للتعليق.
مع الحسابات الخاملة الأهداف الرئيسية لهذه الحملة المعينة ، قد يكون من المفيد أيضًا أن تكون فرق أمن المعلومات على دراية بالحسابات التي لم يتم استخدامها مطلقًا ، وربما حتى تقاعدها إذا لم تكن تخدم أي غرض مفيد.
يجدر أيضًا التأكد من أن هذه الحسابات غير مؤمنة بكلمات مرور افتراضية ، والتي يمكن للمهاجمين الإلكترونيين بسهولة الوصول إليها.