FBI, Devlet Bilgisayar Korsanları Tarafından Yanal Hareket İçin Kullanılan MFA Kusuru Konusunda Uyardı
FBI, Rus devlet destekli bilgisayar korsanlarının, yanlış yapılandırılmış varsayılan çok faktörlü kimlik doğrulama (MFA) protokollerinin kötüye kullanılmasının ardından kuruluşun Duo MFA'sına kendi cihazlarını kaydettirdikten sonra bir sivil toplum kuruluşu (STK) bulutuna erişim kazandığını söyledi.
Ağı ihlal etmek için, kayıtlı olmayan ve etkin olmayan, kuruluşun Active Directory'sinde henüz devre dışı bırakılmamış bir hesaba erişmek için bir kaba kuvvet parola tahmin saldırısında güvenliği ihlal edilmiş kimlik bilgilerini kullandılar.
Federal kurumlar, "Duo'nun varsayılan yapılandırma ayarları, atıl hesaplar için yeni bir cihazın yeniden kaydedilmesine izin verdiğinden, aktörler bu hesap için yeni bir cihaz kaydettirebildi, kimlik doğrulama gereksinimlerini tamamlayabildi ve kurban ağına erişim elde edebildi." açıkladı.
"Kurban hesabının uzun bir süre işlem yapılmaması nedeniyle Duo'dan kaydı silindi, ancak Active Directory'de devre dışı bırakılmadı."
Sonraki adım, bir etki alanı denetleyici dosyasını değiştirdikten sonra tüm Duo MFA çağrılarını Duo sunucusu yerine yerel ana bilgisayara yeniden yönlendirerek MFA hizmetini devre dışı bırakmaktı.
Bu, STK'nın sanal özel ağında (VPN) yönetici olmayan kullanıcılar olarak kimliklerini doğrulamalarına, Uzak Masaüstü Protokolü (RDP) aracılığıyla Windows etki alanı denetleyicilerine bağlanmalarına ve diğer etki alanı hesapları için kimlik bilgileri almalarına izin verdi.
Güvenliği ihlal edilmiş bu hesapların yardımıyla ve MFA uygulanmadan, Rus destekli tehdit aktörleri yatay olarak hareket edebilir ve bulut depolama ve e-posta hesaplarına erişebilir ve verileri sızdırabilir.
FBI ve CISA, bugün tüm kuruluşları ortak bir siber güvenlik danışmanlığında aşağıdaki azaltma önlemlerini uygulamaya çağırdı:
- "Başarısız açma" ve yeniden kayıt senaryolarına karşı koruma sağlamak için MFA'yı uygulayın ve yapılandırma ilkelerini gözden geçirin.
- Etkin olmayan hesapların Active Directory ve MFA sistemlerinde aynı şekilde devre dışı bırakıldığından emin olun.
- Tüm sistemleri yamalayın. Bilinen istismar edilen güvenlik açıkları için yama uygulamaya öncelik verin.
CISA, "Her kuruluş, tüm çalışanlar ve müşteriler için MFA'yı zorunlu kılmalı ve her kullanıcı, uygun olduğunda MFA'ya kaydolmalıdır."
"MFA uygulayan kuruluşlar, karmaşık bir saldırganın bu kontrolü atlatabilme olasılığını azaltmak için varsayılan yapılandırmaları gözden geçirmeli ve gerektiği şekilde değiştirmelidir."
İki federal kurum, ortak danışma belgesinde taktikler, teknikler ve prosedürler (TTP'ler), uzlaşma göstergeleri (IOC'ler) ve bu kötü niyetli faaliyetlere karşı korunma önerileri hakkında ek bilgiler paylaştı.
Önceki ortak tavsiyeler, Rus devlet bilgisayar korsanlarının ABD Ordusunu, ABD Hava Kuvvetlerini, ABD Donanmasını, ABD Uzay Kuvvetlerini ve Savunma Bakanlığı ve İstihbarat programlarını destekleyen ABD savunma müteahhitlerini hedef alan ve bunlardan ödün verenler konusunda da uyardı.
APT29, APT28 ve Sandworm Team dahil olmak üzere Rus bilgisayar korsanlığı grupları, ABD kritik altyapı sektörlerinden kuruluşları da hedef aldı.
Temmuz 2021'de ABD hükümeti, kritik altyapı ağlarını hedef alan devlet korsanları tarafından koordine edilen kötü niyetli faaliyetler hakkında bilgi için 10 milyon dolara kadar bir ödül de duyurdu.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
