Η εταιρεία διαχείρισης ταυτότητας και πρόσβασης Okta εξέδωσε προειδοποίηση σχετικά με επιθέσεις social engineering που στοχεύουν τους IT service desk agents σε πελάτες με έδρα τις Ηνωμένες Πολιτείες, με σκοπό να τους εξαπατήσουν και να τους παρακινήσουν να επαναφέρουν πολυπαραγοντική ταυτοποίηση (MFA) για χρήστες με υψηλά δικαιώματα.
Δείτε επίσης: Γερμανία: Οικονομική ρυθμιστική αρχή επηρεάστηκε από DDoS επίθεση
Δείτε επίσης: Pizza Hut Australia: Παραβιάστηκε από την ομάδα ShinyHunters
Ο στόχος των επιτιθέμενων ήταν να παραβιάσουν υψηλά προνομιούχους λογαριασμούς Okta Super Administrator για να αποκτήσουν πρόσβαση και να καταχραστούν τις λειτουργίες identity federation που επέτρεπαν το impersonating των χρηστών από τον παραβιασμένο οργανισμό.
Η Okta παρείχε ενδείξεις παραβίασης για επιθέσεις που εντοπίστηκαν από τις 29 Ιουλίου έως τις 19 Αυγούστου.
Η εταιρεία λέει ότι πριν καλέσει το γραφείο υπηρεσιών πληροφορικής ενός οργανισμού-στόχου, ο εισβολέας είτε είχε κωδικούς πρόσβασης για προνομιούχους λογαριασμούς είτε ήταν σε θέση να παραβιάσει τη ροή ελέγχου ταυτότητας μέσω του Active Directory (AD).
Μετά από μια επιτυχημένη παραβίαση ενός λογαριασμού Super Admin, ο δράστης απευθύνθηκε σε υπηρεσίες anonymizing proxy, μια νέα διεύθυνση IP και μια νέα συσκευή.
Οι χάκερ χρησιμοποίησαν την διαχειριστική (admin) πρόσβασή τους για να αναβαθμίσουν τα προνόμια άλλων λογαριασμών, επαναφέροντας τους enrolled authenticators και καταργώντας επίσης το two-factor authentication (2FA) για ορισμένους λογαριασμούς.
Χρησιμοποιώντας το source IdP, οι χάκερ τροποποίησαν τα ονόματα χρηστών έτσι ώστε να ταιριάζουν με τους πραγματικούς χρήστες στον στόχο IdP που είχε παραβιαστεί. Αυτό τους επέτρεψε να προσποιηθούν τον στοχευμένο χρήστη και να αποκτήσουν πρόσβαση σε εφαρμογές που χρησιμοποιούν τον μηχανισμό αυθεντικοποίησης Single-Sign-On (SSO).
Δείτε επίσης: Suffolk High School: Εκτός σύνδεσης μετά από κυβερνοεπίθεση
Για να προστατεύσετε τους λογαριασμούς διαχειριστή από εξωτερικούς παράγοντες, η Okta προτείνει τα εξής μέτρα ασφαλείας:
- Επιβάλετε έλεγχο ταυτότητας ανθεκτικό στο phishing χρησιμοποιώντας το Okta FastPass και το FIDO2 WebAuthn.
- Απαιτείται εκ νέου έλεγχος ταυτότητας για προνομιακή πρόσβαση σε εφαρμογές, συμπεριλαμβανομένου του Admin Console.
- Χρησιμοποιήστε ισχυρούς ελέγχους ταυτότητας για self-service recovery και περιορισμό σε αξιόπιστα δίκτυα.
- Βελτιώστε τα εργαλεία Streamline Remote Management and Monitoring (RMM) και αποκλείστε τα μη εξουσιοδοτημένα.
- Βελτιώστε το help desk verification με οπτικούς ελέγχους, προκλήσεις MFA και εγκρίσεις διαχειριστή.
- Ενεργοποίηση και δοκιμή ειδοποιήσεων για νέες συσκευές και ύποπτη δραστηριότητα.
- Περιορίστε τους ρόλους Super Administrator, εφαρμόστε προνομιακή διαχείριση πρόσβασης και κάντε delegate εργασίες υψηλού κινδύνου.
- Εξουσιοδοτήστε τους διαχειριστές να συνδεθούν από διαχειριζόμενες συσκευές με MFA ανθεκτικό στο phishing και περιορίστε την πρόσβαση σε αξιόπιστες ζώνες.
Ο οδηγός της Okta περιλαμβάνει επιπλέον ενδείξεις παραβίασης, όπως system log events και workflow templates που δείχνουν κακόβουλη δραστηριότητα σε διάφορα στάδια της επίθεσης. Η εταιρεία παρέχει επίσης μια λίστα από διευθύνσεις IP που συσχετίζονται με επιθέσεις που παρατηρήθηκαν από τις 29 Ιουνίου έως τις 19 Αυγούστου.
Πηγή πληροφοριών: bleepingcomputer.com
