Специалисты Volexity раскрыли метод обхода многофакторной аутентификации

Этот способ активно эксплуатировался целой группой взломщиков, которые, при этом, оставались незамеченными долгое время.

Специалисты по кибербезопасности из Volexity сообщили об обнаружении нового метода обхода многофакторной аутентификации (MFA). Его использовали хакеры из группировки Dark Holo в конце 2019 и в начале 2020 годов.

Началось всё заранее, когда злоумышленники атаковали почтовую систему жертвы. В ней авторизация проходила в два этапа: сначала вводились логин и пароль, а затем, на другом сервисе, проходила авторизация по второму фактору. Оттуда пользователь возвращался обратно с cookie, которая подтверждала успех проверки.

Используя украденные при первом взломе данные (логины, пароли и ключ подписи подтверждающей cookie), хакеры смогли взломать систему и во второй раз. Связано это с тем, что после первого их «провала», руководство по безопасности не стало сильно менять набор логинов и паролей. Условно, если раньше в качестве пароля использовался набор символов «Summer2020!», то обновлённым паролем могло быть «Spring2020!». В итоге хакеры без труда подобрали новые данные для входа и вошли в систему, предварительно подделав cookie-файл.



Принцип работы MFA / Источник: Duo Security

Эксперты Volexity отметили навыки хакеров из Dark Holo, с помощью которых они оставались незамеченными на протяжении нескольких лет.

Источник: Ars Technica