Με ένα δισεκατομμύριο κλεμμένους κωδικούς να πωλούνται στο dark web και τις επιθέσεις με infostealer malware να αυξάνονται, δεν προκαλεί έκπληξη ότι οι κυβερνοεγκληματίες στρέφονται σε αυτόματες μηχανές παραβίασης κωδικών.
Ενώ στο παρελθόν είχαν αναφερθεί επιθέσεις τύπου «spray and pray» σε χρήστες των Windows χωρίς two-factor authentication, τώρα η Microsoft εξέδωσε προειδοποίηση για μια νέα επίθεση από ομάδα χάκερ με την ονομασία Storm-1977, που στοχεύει cloud tenants.
Η Microsoft προειδοποιεί για αυτή την επίθεση τύπου password spraying
Η ομάδα Microsoft Threat Intelligence δημοσίευσε νέα προειδοποίηση μετά την παρακολούθηση επιθέσεων που εκμεταλλεύονται μη ασφαλείς ταυτότητες φόρτου εργασίας (workload identities) με σκοπό την πρόσβαση σε σύνθετα περιβάλλοντα. Μελέτες της Microsoft δείχνουν ότι το 51% αυτών των ταυτοτήτων ήταν εντελώς ανενεργές το τελευταίο έτος – γεγονός που καθιστά αυτή την επιφάνεια επίθεσης ιδιαίτερα ελκυστική.
«Καθώς αυξάνεται η υιοθέτηση των containers-as-a-service από οργανισμούς», αναφέρει η έκθεση, «η ομάδα Microsoft Threat Intelligence συνεχίζει να παρακολουθεί τις μοναδικές απειλές ασφαλείας που επηρεάζουν containerized περιβάλλοντα». Μία από αυτές είναι η επίθεση password spraying, που πλέον αποδίδεται στην ομάδα Storm-1977 και στοχεύει ιδιαίτερα οργανισμούς στον εκπαιδευτικό τομέα.
Η επίθεση αξιοποίησε ένα εργαλείο γραμμής εντολών που ονομάζεται AzureChecker, για να «κατεβάσει AES-κρυπτογραφημένα δεδομένα που όταν αποκρυπτογραφηθούν αποκαλύπτουν τη λίστα των στόχων password spraying», σύμφωνα με την έκθεση. Στη συνέχεια, έγινε αποδοχή ενός αρχείου accounts.txt που περιείχε συνδυασμούς ονόματος χρήστη και κωδικού, το οποίο χρησιμοποιήθηκε στην επίθεση.
«Ο χάκερ χρησιμοποίησε τις πληροφορίες και από τα δύο αρχεία και εισήγαγε τα credentials στους στόχους για επικύρωση», εξήγησε η Microsoft.
Η επιτυχής επίθεση επέτρεψε στους χάκερς Storm-1977 να εκμεταλλευτούν έναν λογαριασμό επισκέπτη, δημιουργώντας έναν παραβιασμένο subscription resource group και τελικά περισσότερα από 200 containers που χρησιμοποιήθηκαν για cryptomining.
Πώς να μετριάσετε τις επιθέσεις password spraying
Κάθε επαγγελματίας της κυβερνοασφάλειας θα σας πει το ίδιο: Η λύση στο πρόβλημα των password spraying επιθέσεων είναι να εξαλειφθούν οι κωδικοί πρόσβασης. Αν και αυτό δεν είναι πάντα εύκολο, η πορεία προς ένα μέλλον χωρίς κωδικούς έχει ήδη ξεκινήσει, με ολοένα και περισσότερους να στρέφονται προς passkeys.
Οι κωδικοί πρόσβασης δεν είναι πλέον αρκετοί για να μας προστατεύσουν στο διαδίκτυο. Ο Chris Burton, επικεφαλής επαγγελματικών υπηρεσιών στην Pentest People, τονίζει:
«Όπου είναι δυνατό, πρέπει να χρησιμοποιούμε passkeys – είναι πολύ πιο ασφαλείς, ακόμα κι αν η υιοθέτησή τους είναι ακόμη περιορισμένη».
Η Lorri Janssen-Anessi, διευθύντρια εξωτερικών εκτιμήσεων κινδύνου στην BlueVoyant, συμφωνεί απόλυτα:
«Λόγω της χαμηλής υιοθέτησης multi-factor authentication και της ανθρώπινης ευαλωτότητας στην αλυσίδα ασφάλειας, οι επιχειρήσεις πρέπει να εξετάσουν λύσεις χωρίς κωδικούς».
Η ίδια προβλέπει πως οι μέθοδοι αυθεντικοποίησης μέσω βιομετρικών στοιχείων και ασφαλών tokens θα γίνουν όλο και πιο κυρίαρχες.
Ο Brian Pontarelli, CEO της FusionAuth, επισημαίνει πως οι ομάδες που χτίζουν το μέλλον της αυθεντικοποίησης είναι οι ίδιες που διαχειρίζονται τις σελίδες σύνδεσης εφαρμογών.
«Μερικές από αυτές εγκαταλείπουν εντελώς τους κωδικούς», λέει, προσθέτοντας πως σε έρευνα μεταξύ προγραμματιστών, τα passkeys ήταν ταυτόχρονα η λειτουργία με τη μεγαλύτερη και μικρότερη εξοικείωση – ένα σημάδι πως είναι ένα διχαστικό αλλά αναδυόμενο πρότυπο.
Η προειδοποίηση της Microsoft για την επίθεση τύπου password spraying μας υπενθυμίζει ότι η επαναχρησιμοποίηση κωδικών είναι εξαιρετικά επικίνδυνη, καθώς μπορεί να διευκολύνει περαιτέρω επιθέσεις. Το credential stuffing δεν πρόκειται να εξαφανιστεί και όπως προειδοποιεί ο Muhammad Yahya Patel από την Check Point Software, «οι νέες απειλές επιταχύνουν ακόμη περισσότερο αυτόν τον κίνδυνο».
Με τις επιθέσεις brute force να αξιοποιούν τη GPU ισχύ για να δοκιμάσουν γρήγορα συνδυασμούς κωδικών, την αύξηση των malware που κλέβουν κωδικούς και τη συμβολή της τεχνητής νοημοσύνης, η προστασία μας γίνεται όλο και πιο αδύναμη.
Και το χειρότερο; Η αγορά κωδικών στο κυβερνοεγκληματικό υπόγειο – είτε στο dark web είτε σε forums της επιφάνειας του web – είναι εξοργιστικά φθηνή. Πολλές φορές μάλιστα, οι λίστες συνδυασμών credentials ανταλλάσσονται δωρεάν.
«Εκπαιδεύστε τις ομάδες όχι μόνο στη δημιουργία ισχυρότερων κωδικών, αλλά και στην πλήρη κατάργησή τους», λέει ο Patel. «Το μήκος, η ποικιλία και η μοναδικότητα των κωδικών συνδέονται με την ανάγκη για εξερεύνηση λύσεων μετά τον κωδικό».
Πώς να προστατευτείτε από την επίθεση μέσω AzureChecker
Η Microsoft, λαμβάνοντας υπόψη ότι ομάδες όπως οι Storm-1977 χρησιμοποιούν όλο και περισσότερο παραβιασμένες ταυτότητες για αρχική πρόσβαση και μακροχρόνια παραμονή σε ένα περιβάλλον, συνιστά τα εξής:
- Χρησιμοποιείτε ισχυρή αυθεντικοποίηση όταν εκθέτετε ευαίσθητα interfaces στο διαδίκτυο.
- Χρησιμοποιείτε ισχυρές μεθόδους αυθεντικοποίησης για το Kubernetes API, ώστε να αποφευχθεί πρόσβαση στον cluster ακόμα και με έγκυρα credentials.
- Αποφύγετε τη χρήση του read-only endpoint του Kubelet στη θύρα 10255, που δεν απαιτεί αυθεντικοποίηση.
- Διαμορφώστε το Kubernetes role-based access control έτσι ώστε κάθε χρήστης και κάθε υπηρεσιακός λογαριασμός να έχει μόνο τις απολύτως απαραίτητες άδειες.
Η Microsoft πρόσθεσε: «Οι πρόσφατες ενημερώσεις στο Microsoft Defender for Cloud ενισχύουν τις δυνατότητες ασφάλειας των containers από την ανάπτυξη έως το runtime». Ο Defender for Cloud προσφέρει ενισχυμένη ανακάλυψη και «agentless visibility» σε Kubernetes περιβάλλοντα, παρακολουθώντας containers, pods και εφαρμογές. Αυτός ο συνεχής και λεπτομερής έλεγχος βοηθά στη συμμόρφωση και στη διατήρηση ασφαλών ρυθμίσεων.
VIA: FoxReport.gr
