O FBI diz que hackers apoiados pelo estado russo obtiveram acesso a uma nuvem de uma organização não governamental (ONG) depois de registrar seu próprio dispositivo no Duo MFA da organização após a exploração de protocolos de autenticação multifator (MFA) padrão mal configurados.
Para violar a rede, eles usaram credenciais comprometidas em um ataque de adivinhação de senha de força bruta para acessar uma conta não registrada e inativa, ainda não desabilitada no Active Directory da organização.
“Como as configurações padrão do Duo permitem a reinscrição de um novo dispositivo para contas inativas, os atores puderam registrar um novo dispositivo para esta conta, preencher os requisitos de autenticação e obter acesso à rede da vítima”, as agências federais explicou.
“A conta da vítima foi cancelada no Duo devido a um longo período de inatividade, mas não foi desativada no Active Directory.”
A próxima etapa foi desabilitar o serviço MFA redirecionando todas as chamadas Duo MFA para localhost em vez do servidor Duo após modificar um arquivo de controlador de domínio.
Isso permitiu que eles se autenticassem na rede privada virtual (VPN) da ONG como usuários não administradores, se conectassem a controladores de domínio do Windows por meio do Remote Desktop Protocol (RDP) e obtivessem credenciais para outras contas de domínio.
Com a ajuda dessas contas comprometidas e sem a aplicação de MFA, os agentes de ameaças apoiados pela Rússia podem se mover lateralmente e obter acesso ao armazenamento em nuvem e contas de e-mail e exfiltrar dados.
O FBI e a CISA pediram a todas as organizações hoje em um conselho de segurança cibernética para aplicar as seguintes medidas de mitigação:
- Aplique a MFA e revise as políticas de configuração para proteger contra cenários de “falha aberta” e reinscrição.
- Certifique-se de que as contas inativas sejam desabilitadas uniformemente nos sistemas Active Directory e MFA.
- Corrija todos os sistemas. Priorize a correção de vulnerabilidades exploradas conhecidas .
“Toda organização deve aplicar a MFA para todos os funcionários e clientes, e todos os usuários devem se inscrever para a MFA quando disponível”, acrescentou a CISA.
“As organizações que implementam a MFA devem revisar as configurações padrão e modificá-las conforme necessário, para reduzir a probabilidade de um adversário sofisticado contornar esse controle”.
As duas agências federais compartilharam informações adicionais sobre táticas, técnicas e procedimentos (TTPs), indicadores de comprometimento (IOCs) e recomendações para proteção contra essa atividade maliciosa no comunicado conjunto .
Avisos conjuntos anteriores também alertaram sobre hackers estatais russos visando e comprometendo empreiteiros de defesa dos EUA que apoiam os programas do Exército dos EUA, Força Aérea dos EUA, Marinha dos EUA, Força Espacial dos EUA e DoD e programas de Inteligência.
Grupos de hackers russos, incluindo APT29 , APT28 e o Sandworm Team , também têm como alvo organizações de setores críticos de infraestrutura dos EUA .
Em julho de 2021, o governo dos EUA também anunciou uma recompensa de até US$ 10 milhões por informações sobre atividades maliciosas coordenadas por hackers estaduais visando redes de infraestrutura crítica.