近日,APT黑客组织根据“日爆进攻”(SUNBURST)SolarWinds的网络管理软件,渗入了包含五角大楼和美国白宫以内的1.8万家和公司和政府部门,在网络信息安全业内刮起强烈反响。
据网络信息安全企业Volexity报导,执行“日爆进攻”的APT机构早已设计方案出一种精妙的方式,可以绕开总体目标互联网的多要素身份认证系统软件。
安全性企业Volexity的分析工作人员周一表明,它在2019年末和2020年初碰到了与“日爆进攻”网络黑客技巧相近的网络攻击,该攻击者深层次某中国智库机构里面的频次不少于3次。
在一次进攻期内,Volexity科学研究工作人员注意到网络黑客运用了一种新奇的技术性绕开了Duo给予的多要素身份认证维护(MFA)。在受传染的互联网上得到管理人员权利后,网络黑客使用这种权利帐户从运作Outlook Web App(各种各样互联网服务给予账号身份认证)的网络服务器上盗取了名叫akey的Duo保密信息。
随后,网络黑客应用akey事先转化成cookie,用于绕开总体目标帐户的MFA认证。Volexity觉得网络攻击是我国黑客组织Dark Halo。科学研究工作人员Damien Cash、Matthew Meltzer、Sean Koessel、Steven Adair和Thomas Lancaster写到:
在双因素认证中,登陆密码验证通过后,网络服务器会评定duo-sid cookie,并确认其能否合理。Volexity的调研发觉,网络攻击从OWA网络服务器浏览了Duo集成化密匙(akey)。随后,该密匙使网络攻击可以在duo-sid cookie中设定事先测算的值。这使网络攻击仅需获得客户账号和登陆密码就能彻底绕开账号的MFA认证体制。此事情注重了保证与密匙集成化关系的全部商业秘密(例如与MFA服务提供者的商业秘密)应在出现泄漏后开展变更的重要性。除此之外,关键的是,更改密码时不能应用与旧登陆密码相近的密码(例如,把旧登陆密码Summer2020!改为Spring2020!)。
Volexity对Dark Halo的进攻叙述说明,与别的安全性科研员工的结果一致,那便是网络攻击呈现了很高的技术实力。
《华盛顿邮报》和《纽约时报》均引用了没有名字的政府部门人员的观点,称启动“日爆进攻”的是APT黑客组织APT29,也被称作Cozy Bear,是瑞士联邦安全局(FSB)的一部分。
虽然本实例中的MFA多要素身份认证新技术的供应者是Duo,但别的MFA技术性也彻底有可能被绕开。由于MFA危害模型通常不包括对OWA网络服务器的系统化进攻。而网络黑客得到的访问限制等级也足够关掉几乎全部防御措施。
DUO发布的官网申明中写到:
事情的源头并不是Duo商品中出现一切系统漏洞。反而是网络攻击从目前的受感柒顾客自然环境(例如电子邮箱网络服务器)中得到了对集成化凭证的权利浏览,这种集成化凭证针对Duo服务项目的管理方法是不可缺少的。
为了更好地降低产生这类情况的概率,重中之重是维护集成化密秘防止机构内曝露,并在猜疑有进攻的情形下交替密匙。与MFA集成化的服务项目被侵入,也可以造成集成化密秘的泄漏,及其对MFA维护的系統和统计数据的非法访问。
Volexity说,Dark Halo的具体目的是获得顾问团内部结构特殊本人的电子邮箱。这个安全性企业表明,Dark Halo是一个比较复杂的危害参加者,与一切著名的危害参加者没有联络。
【文中是51CTO栏目创作者“i春秋”的原创文章内容,转截请根据i春秋(微信公众平台id:gooann-sectv)获得受权】
戳这儿,看该创作者大量好文章