Nhóm hacker Lapsus$ đã đánh bại bảo mật của Microsoft và Samsung như thế nào?

T
Nguyễn Thu Hà
Phản hồi: 0
Xác thực đa yếu tố (MFA) là biện pháp bảo vệ rất hiệu quả trong việc ngăn chặn chiếm đoạt tài khoản. Ngoài yêu cầu cơ bản như tên người dùng và mật khẩu, MFA còn yêu cầu phải thêm yếu tố bổ sung, như dấu vân tay, khóa bảo mật vật lý, mã xác thực dùng một lần,... Điều đáng nói ở đây, những nhóm hacker như Lapsus$ - băng đảng hacker tuổi teen - hay những đội tin tặc được cho có Nga hậu thuẫn, đều đã đánh bại được hình thức bảo vệ rất được tin tưởng này.

"Đánh bom" để cảnh báo MFA

Các hình thức bảo vệ bằng xác thực đa yếu tố MFA mạnh nhất dựa trên một khuôn khổ được gọi là FIDO2, được phát triển bởi nhiều công ty để cân bằng giữa tính bảo mật và tính đơn giản khi sử dụng. Nó mang đến tùy chọn sử dụng đầu đọc dấu vân tay, camera tích hợp trong thiết bị, hoặc khóa bảo mật chuyên dụng nhằm xác nhận họ được phép truy cập vào tài khoản. Các hình thức IDO2 của MFA tương đối mới, cho nên nhiều dịch vụ cho cả người tiêu dùng và các tổ chức lớn vẫn chưa thể áp dụng chúng.
Nhóm hacker Lapsus$ đã đánh bại bảo mật của Microsoft và Samsung như thế nào?
Đó cũng là lý do mà các dạng MFA cũ hơn, yếu hơn vẫn còn phổ biến. Chúng bao gồm mật khẩu dùng một lần được gửi qua SMS hoặc tạo bởi ứng dụng dành cho thiết bị di động như Google Authenticator, lời nhắc được gửi đến thiết bị di động... Khi ai đó đăng nhập bằng một mật khẩu hợp lệ, họ phải nhập mật khẩu dùng một lần vào một trường trên màn hình đăng nhập hoặc nhấn nút hiển thị trên màn hình điện thoại của họ. Đó là hình thức xác thực cuối cùng mà các báo cáo gần đây cho biết đang bị bỏ qua. Theo hãng bảo mật Mandiant, một nhóm sử dụng kỹ thuật này là Cozy Bear (nhóm tin tặc ưu tú làm việc cho Cơ quan Tình báo Nước ngoài của Nga). Mandiant viết: “Nhiều nhà cung cấp MFA cho phép người dùng chấp nhận thông báo đẩy của ứng dụng điện thoại, hoặc nhận cuộc gọi và nhấn phím như một yếu tố thứ hai. Kẻ đe dọa đã lợi dụng điều này và đưa ra nhiều yêu cầu MFA tới thiết bị hợp pháp của người dùng cho đến khi người dùng chấp nhận xác thực, cho phép kẻ đe dọa cuối cùng có quyền truy cập vào tài khoản." Lapsus$ - một băng nhóm hacker đã xâm nhập vào Microsoft, Okta, Samsung và Nvidia trong những tháng gần đây, cũng sử dụng kỹ thuật này. Một thành viên của Lapsus$ viết trên kênh Telegram chính thức: "Không có giới hạn ề số cuộc gọi có thể thực hiện. Gọi cho nhân viên 100 lần vào lúc 1 giờ sáng khi anh ta đang cố gắng ngủ, và nhiều khả năng anh ta sẽ chấp nhận. Khi nhân viên chấp nhận cuộc gọi ban đầu, bạn có thể truy cập cổng đăng ký MFA và đăng ký một thiết bị khác." Thành viên Lapsus$ tuyên bố rằng, kỹ thuật đánh bom nhanh MFA có hiệu quả chống lại cả các hình thức bảo mật của Microsoft. Nhóm cũng cho biết họ đã truy cập vào máy tính xách tay của một trong những nhân viên của họ. "Ngay cả Microsoft cũng không phải là ngoại lệ. Có khả năng đăng nhập vào Microsoft VPN của một nhân viên từ Đức và Mỹ cùng lúc và họ dường như không nhận ra. Cũng có thể đăng ký lại MFA hai lần."

Các hình thức của"MFA Bombing" là gì?

Các phương pháp được áp dụng trong MFA Bombing gồm
Nhóm hacker Lapsus$ đã đánh bại bảo mật của Microsoft và Samsung như thế nào?
- Gửi một loạt các yêu cầu MFA giống như việc làm phiền, hy vọng cuối cùng nó sẽ được chấp nhận. - Gửi một hoặc hai lời nhắc mỗi ngày. Phương pháp này thường thu hút ít sự chú ý hơn, nhưng "vẫn có khả năng mục tiêu sẽ chấp nhận yêu cầu MFA." - Gọi cho mục tiêu, giả vờ là một phần của công ty và nói rằng họ cần gửi yêu cầu MFA như một phần của quy trình công ty. Đó chỉ là một vài ví dụ để vượt qua được xác thực MFA, nhưng điều quan trọng nhất cần biết MFA Bombing không phải là cách duy nhất. Mike Grover, 1 chuyên gia tư vấn bảo mật, nói "Các hacker mũ đỏ đã từng sử dụng những hình thức này trong nhiều năm. Những những kẻ tấn công trong thế giới thực đang nâng cấp điều này quá nhanh so với thế trận phòng thủ tập thể của hầu hết các công ty." Những nhà nghiên cứu khác cũng đã nhanh chóng chỉ ra, những kỹ thuật tấn công MFA này không phải mới - "Lapsus$ không phải là người đã phát minh ra MFA Bombing". Trên thực tế, những vụ tấn công này đã được sử dụng từ 2 năm trước đó.

FIDO có thực sự tốt?

Các tiêu chuẩn IDO2 của MFA không dễ bị ảnh hưởng bởi kỹ thuật này, vì chúng được gắn với thiết bị vật lý mà ai đó đang sử dụng khi đăng nhập vào một trang web. Nói cách khác, xác thực cần phải được thực hiện trên thiết bị đang đăng nhập. Việc cấp quyền truy cập cho một thiết bị khác không thể xảy ra trên một thiết bị. Nhưng điều này không đảm bảo rằng các tổ chức sử dụng MFA tuân thủ FIDO2 không bị MFA Bombing tấn công. Rõ ràng không thể tránh khỏi một tỷ lệ nhất định những người đăng ký các hình thức MFA này sẽ quên khóa, đánh rơi iPhone trong nhà vệ sinh, làm hỏng đầu đọc dấu vân tay trên máy tính xách tay của họ... Các tổ chức cần phải có sẵn các phương án dự phòng để đối phó với những sự cố không thể tránh khỏi này. Trong nhiều trường hợp khác, tin tặc vẫn có thể đánh lừa quản trị viên công nghệ đặt lại MFA và đăng ký thiết bị mới. Trong nhiều trường hợp, MFA tuân thủ FIDO2 chỉ là một lựa chọn, nhưng các hình thức kém an toàn hơn vẫn được cho phép.
Nhóm hacker Lapsus$ đã đánh bại bảo mật của Microsoft và Samsung như thế nào?
Grover nói: “Các cơ chế đặt lại hay sao lưu luôn rất hấp dẫn đối với những kẻ tấn công." Những công ty sử dụng MFA tuân thủ FIDO2 dựa vào bên thứ ba để quản lý mạng của họ hoặc thực hiện các chức năng thiết yếu khác. Nếu nhân viên của bên thứ 3 có thể truy cập vào mạng doanh nghiệp bằng hình thức MFA yếu hơn, điều đó chắc chắn sẽ làm mất đi lợi ích của các hình thức bảo vệ mạnh hơn. Ngay cả những công ty đang sử dụng MFA dựa trên FIDO2 phổ biến, thì kỹ thuật "đánh bom hạt nhân" vẫn có thể làm nổ tung bức tường thành bảo vệ. Tuy nhiên, việc vượt qua này chỉ có thể thực hiện được sau khi tin tặc xâm nhập hoàn toàn Active Directory của mục tiêu, một công cụ cơ sở dữ liệu được củng cố nghiêm ngặt mà quản trị viên mạng sử dụng để tạo, xóa hoặc sửa đổi tài khoản người dùng và gán cho họ các đặc quyền để truy cập các tài nguyên được ủy quyền. Tất cả đều cho thấy, bất kỳ hình thức MFA nào cũng tốt hơn là không sử dụng MFA. Nếu mật khẩu được gửi một lần qua qua SMS là tất cả những gì có sẵn - một hình thức dễ sai lầm và khó chịu nhất - thì vẫn phải công nhận rằng hệ thống của bạn sẽ được bảo vệ tốt hơn là không có MFA. Điều đó nói rằng chỉ riêng MFA là chưa đủ và nó khó có thể tạo thành một chiếc hộp chỉ thuộc riêng sự kiểm soát của của các tổ chức. Sơ hở này được Cozy Bear tìm ra, trở thành nguồn tài nguyên vô hạn và kỹ thuật hàng đầu của nhóm. Hiện tại các hacker trẻ tuổi đang sử dụng các kỹ thuật tương tự để xâm phạm các công ty lớn như Nvidia, Okta và Microsoft... "Mặc dù LAPSUS$ có thể bị coi như một nhóm hacker chưa trưởng thành và họ đang tìm kiếm sự nổi tiếng, nhưng các chiến thuật của họ nên khiến bất kỳ ai phụ trách an ninh doanh nghiệp phải ngồi dậy và chú ý”. >>> Xác thực đa yếu tố là gì? Nguồn wired
 


Đăng nhập một lần thảo luận tẹt ga
Thành viên mới đăng
Top