Connect with us

Technologie

Comment Lapsus$ a exploité les défaillances de l’authentification multifacteur

Published

on


Plus tôt cette semaine, Microsoft a mis à jour un avis sur les activités de Dev-0537, qui a mené une campagne d’ingénierie sociale et d’extorsion à grande échelle contre plusieurs organisations. La mise à jour a mis en évidence les techniques utilisées par les attaquants et les risques liés à l’utilisation de processus centralisés de sécurité informatique et de sécurité informatique.

Aussi connu sous le nom de Lapsus$, le groupe a mené une campagne d’extorsion au Royaume-Uni et en Amérique du Sud. Il s’est maintenant étendu à des cibles mondiales, y compris des organisations dans les domaines du gouvernement, de la technologie, des télécommunications, des médias, de la vente au détail et des soins de santé.

Selon Microsoft, Dev-0537 utilise plusieurs tactiques qui sont moins souvent utilisées par d’autres acteurs de la menace suivis par Microsoft. « Leurs tactiques incluent l’ingénierie sociale par téléphone, l’échange de cartes SIM pour faciliter la prise de contrôle de compte, l’accès aux comptes de messagerie personnels des employés des organisations cibles, le paiement des employés, des fournisseurs ou des partenaires commerciaux des organisations cibles pour l’accès aux informations d’identification et à l’approbation de l’authentification multifacteur (MFA), et l’intrusion dans les appels de communication de crise en cours de leurs cibles », a averti Microsoft dans l’avis.

Microsoft a déclaré qu’il avait également trouvé des cas où le groupe avait réussi à accéder à des organisations cibles par des employés recrutés – ou des employés de leurs fournisseurs ou partenaires commerciaux. Dev-0537 a annoncé qu’il voulait acheter des informations d’identification pour ses cibles afin d’inciter les employés ou les entrepreneurs à participer à ses opérations.

D’autres techniques utilisées par les attaquants incluent le déploiement du voleur de mot de passe Redline malveillant pour obtenir des mots de passe et des jetons de session, l’achat d’informations d’identification et de jetons de session sur des forums clandestins criminels et le paiement d’employés d’organisations ciblées – ou de fournisseurs / partenaires commerciaux – pour accéder aux informations d’identification et à l’approbation MFA. Ils recherchent également des informations d’identification exposées dans les référentiels de code public.

Microsoft a exhorté les responsables de la sécurité à adopter des processus de détection et de réponse similaires aux programmes de gestion des risques internes, combinés à des délais de réponse courts nécessaires pour faire face aux menaces externes malveillantes.

Selon le Microsoft Threat Intelligence Centre (MSTIC), l’objectif de Dev-0537 est d’obtenir un accès élevé grâce à des informations d’identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée. Il a rapporté que les pirates ont concentré leurs efforts d’ingénierie sociale pour recueillir des connaissances sur les opérations commerciales de leur cible.

Ces informations comprennent une connaissance intime des employés, des structures d’équipe, des services d’assistance, des flux de travail de réponse aux crises et des relations de la chaîne d’approvisionnement. Microsoft a averti que des exemples de ces tactiques d’ingénierie sociale incluent le spamming d’un utilisateur cible avec des invites MFA et l’appel du service d’assistance de l’organisation pour réinitialiser les informations d’identification d’une cible.

Microsoft a averti que dans les organisations utilisant la sécurité MFA, Dev-0537 a utilisé la relecture de jetons de session et les mots de passe volés pour déclencher des invites MFA à approbation simple, espérant que l’utilisateur légitime du compte compromis finira par consentir aux invites et accorder l’approbation nécessaire.

En utilisant les informations d’identification et/ou les jetons de session compromis, Dev-0537 a alors accès aux systèmes et applications Internet. Ces systèmes incluent le plus souvent un réseau privé virtuel (VPN), un protocole RDP (Remote Desktop Protocol), une infrastructure de bureau virtuel (VDI), y compris Citrix, ou des fournisseurs d’identité, notamment Azure Active Directory et Okta.

La société de gestion des identités Okta est l’une des entreprises touchées par l’attaque, qui s’est produite par l’intermédiaire de l’un de ses sous-traitants, Sitel, propriétaire de Sykes, une société qui fournit à Okta des travailleurs contractuels pour son organisation de support client.

Le 23 mars, le responsable de la sécurité d’Okta, David Bradbury, s’est excusé pour le long délai entre le moment où Sitel a été informé de la faille de sécurité et le moment où il a terminé son enquête sur l’attaque. Il a écrit : « Je suis très déçu par le long laps de temps qui s’est écoulé entre notre notification à Sitel et la publication du rapport d’enquête complet. Après réflexion, une fois que nous avons reçu le rapport de synthèse de Sitel, nous aurions dû agir plus rapidement pour comprendre ses implications. »

Selon Bradbury, le rapport de la firme médico-légale a souligné qu’il y avait une fenêtre de cinq jours entre le 16 et le 21 janvier 2022 lorsque l’acteur de la menace avait accès à l’environnement Sitel. Les ingénieurs de support ont un accès « super utilisateur » aux outils de support – Jira, Slack, Splunk, RingCentral et Salesforce et à l’application de support interne.

« Il s’agit d’une application conçue avec le moins de privilèges à l’esprit pour s’assurer que les ingénieurs de support ne bénéficient que de l’accès spécifique dont ils ont besoin pour remplir leurs rôles », a déclaré Bradbury dans le billet de blog. supprimer des utilisateurs. Ils ne peuvent pas télécharger les bases de données client. Ils ne peuvent pas accéder à nos référentiels de code source. »

À la mi-février, le même groupe de piratage a violé la sécurité de Nvidia, volant 1 téraoctet de données, y compris les noms d’utilisateur et les mots de passe de plus de 71 000 employés de Nvidia.

Plus tôt ce mois-ci, dans un article couvrant les cyber-acteurs parrainés par l’État exploitant les protocoles MFA par défaut, le FBI et la Cyber Information Security Agency (CISA) ont recommandé aux organisations d’appliquer l’AMF pour tous les utilisateurs, sans exception. Ils ont exhorté les organisations à revoir les politiques de configuration pour se protéger contre les scénarios d’ouverture et de réinscription et à mettre en œuvre des fonctionnalités de délai d’attente et de verrouillage en réponse aux tentatives de connexion infructueuses répétées.

En plus d’appliquer des mots de passe forts et une surveillance de la sécurité, le FBI et la CISA ont également recommandé que les responsables informatiques s’assurent que les comptes inactifs sont désactivés uniformément sur les systèmes Active Directory et MFA.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Tendance