به گزارش کارگروه حملات سایبری سایبربان؛ اداره تحقیقات فدرال آمریکا (FBI) مدعی است هکرهای روس توانسته اند پس از ثبت دستگاه خود در سیستم احراز هویت چند عاملی Due یک سازمان غیر دولتی، به فضای ابری آن دسترسی پیدا کرده اند. ظاهرا این رویداد به دنبال بهره برداری هکرها از پروتکل های پیش فرض احراز هویت چند عاملی رخ داده است که به درستی پیکربندی نشده اند.
هکرها برای رخنه به شبکه هدف و دسترسی به یک حساب غیر فعال و ثبت نشده، از داده های احراز هویتی استفاده کردند که در یک حمله حدس پسورد بروت فورس در معرض دسترسی قرار گرفته بودند.
اف بی آی مدعی است هکرها توانستند یک دستگاه جدید را در حساب مذکور ثبت و ضمن تکمیل موارد مورد نیاز برای احراز هویت، به شبکه هدف دسترسی پیدا کنند.
حساب هدف به دلیل غیر فعالی طولانی مدت از Due لغو ثبت نام شده بود اما در اکتیو دایرکتوری غیر فعال نشده بود.
هکرها در محله بعد از طریق هدایت تماس های سیستم احراز هویت Due به یک میزبان محلی (به جای سرور Due)، سرویس احراز هویت را غیر فعال کردند.
این موضوع به هکرها اجازه می دهد تا به عنوان کاربرهای غیر ادمین در VPN سازمان غیر دولتی هدف احراز هویت شوند و ضمن اتصال به کنترل کننده های دامین ویندوز از طریق RDP، به داده های احراز هویت دیگر حساب های دامین دسترسی پیدا کنند.
هکرها توانستند با کمک این حساب های در معرض خطر قرار گرفته، به صورت جانبی در شبکه حرکت و به فضای ذخیره سازی ابری و حساب های ایمیل دسترسی پیدا کنند.
سیسا و اف بی آی از تمامی سازمان ها خواستند تا از موارد زیر اطمینان حاصل کنند:
- غیر فعال سازی حساب ها در اکتیو دایرکتوری و سیستم های احراز هویت چند عاملی
- به روز رسانی تمامی سیستم ها و اولویت بندی اصلاح برای آسیب پذیری های بهره برداری شده
