Hakerzy związani z atakiem na SolarWinds stosowali odgadywanie i rozpylanie haseł

Amerykańska Agencja ds. Cyberbezpieczeństwa i Infrastruktury (CISA) ujawniła, że odgadywanie i rozpylanie haseł zostało użyte przez hakerów, którzy włamali się do systemów firmy SolarWinds.

Odgadywanie i rozpylanie haseł

Odgadywanie haseł to technika stara jak systemy nimi zabezpieczone. Wpisuje się kolejne hasła tak długo, aż uda się trafić na właściwe. Technika ta nazywa się także brute-force. Zależnie od systemów, wystarczy użyć szybkich komputerów i dobrego łącza internetowego, aby sprawdzić wszelkie kombinacje liter, cyfr i znaków do odgadnięcia hasła zabezpieczającego dane konto.

W bardziej zaawansowanych systemach korzysta się z tak zwanych tęczowych tablic. Zawierają one najpopularniejsze hasła lub ich składniki, co znacznie przyspiesza włamanie do systemu.

Rozpylanie haseł to technika będąca odwrotnością do brute-force. Znamy hasła używane w danej sieci lub systemie, ale trzeba je dopasować do któregoś z użytkowników. Testuje się dane hasło na kontach wszystkich użytkowników – do skutku.

Najnowsze wieści od Amerykańskiej Agencji ds. Cyberbezpieczeństwa i Infrastruktury (CISA)

CISA ujawniła, że hakerzy, którzy włamali się do SolarWinds, przeprowadzali skuteczne ataki polegające na odgadywaniu haseł i rozpylaniu haseł. Ich celem było włamanie się do firm, które nie korzystały z oprogramowania Orion.

Najprawdopodobniej firmy, które korzystały lub miały zamiar korzystać z systemów SolarWinds, przekazywały dane o kontach. Jeśli hakerzy buszujący w sieci SolarWinds trafili na te dane, to tylko kwestią czasu było włamanie do sieci ofiary. Wystarczyło użyć wymienionych wcześniej technik, aby udało się dostać do systemów i zacząć poszukiwanie danych.

CISA bada przypadki, w których osoba atakująca mogła uzyskać wstępny dostęp przez odgadywanie haseł [T1110.001], rozpylanie haseł [T1110.003] i/lub wykorzystywanie niewłaściwie zabezpieczonych poświadczeń administracyjnych lub usługowych (niezabezpieczone poświadczenia [T1552]), zamiast wykorzystywać skompromitowane produkty SolarWinds Orion.” – podała CISA

Gdy hakerzy, najprawdopodobniej pochodzący z Rosji, uzyskali dostęp do sieci wewnętrznych lub infrastruktury chmurowej, zwiększyli dostęp w celu uzyskania praw administratora. Potem używali sfałszowanych tokenów uwierzytelniających (OAuth), a te umożliwiły im dostęp do zasobów chmurowych Microsoft Azure i Microsoft 365.

Cyberprzestępcy wykorzystywali także lokalny dostęp w celu omijania kontroli tożsamości, a w tym także uwierzytelniania wieloskładnikowego.

Jak radzić sobie z włamaniem do chmury Microsoftu?

CISA opublikowała poradnik, w którym znajdują się informacje dotyczące tego, jak przeszukać konfiguracje chmurowe Microsoftu, aby odnaleźć ślady aktywności hakerów. Są tam także informacje, jakich narzędzi użyć, żeby naprawiać serwery.

Dzięki tym wskazówkom możliwe jest złagodzenie efektów włamania dokonanego zarówno przez aktualizację oprogramowania SolarWinds Orion, jak i wykorzystanie innych technik dostępu do systemów.

Źródło: CISA

Dodaj komentarz