Взломавшие SolarWinds хакеры обошли многофакторную аутентификацию

Как писал ранее SecurityLab, 13 декабря компания SolarWinds сообщила о том, что стала жертвой кибератаки на цепочку поставок. Финансируемые иностранным правительством хакеры взломали сети американского производителя ПО и внедрили вредоносное обновление для его ПО Orion с целью заражения сетей использующих его правительственных и коммерческих организаций.

Специалисты FireEye дали киберпреступной группировке нейтральное кодовое название UNC2452. Эксперты из ИБ-компании Volexity, отслеживающие данную группировку как Dark Halo, сообщили , что за последние два года она как минимум трижды атаковала некий американский аналитический центр.

В ходе одной из атак хакеры использовали новую технику для обхода мультифакторной аутентификации, предоставляемой компанией Duo. Получив права администратора в зараженной сети, преступники похитили ключ с сервера с запущенным Outlook Web App (OWA), который предприятия используют для аутентификации учетной записи для различных сетевых служб. Затем хакеры использовали ключ для создания cookie-файла, необходимого для дальнейшего перехвата контроля над учетной записью.

В ходе второго инцидента Dark Halo получила доступ к учетной записи электронной почты пользователя через web-клиент OWA, который был защищен мультифакторной аутентификацией. Злоумышленники получили доступ к секретному ключу интеграции Duo с сервера OWA и узнали предварительно вычисленное значение, которое будет установлено в cookie-файле duo-sid. После успешной аутентификации по паролю сервер оценил cookie-файл duo-sid и определил, что он действительный. Это позволило злоумышленнику, зная учетную запись пользователя и пароль, затем полностью обойти защиту.

Третий инцидент был связан с вредоносным использованием ПО SolarWinds Orion. В июле 2020 года Volexity выявила подозрительные административные команды и аномалии ActiveSync в среде Exchange организации. Дальнейшая проверка программного обеспечения конечных точек и сетевого трафика организации подтвердила взлом. Злоумышленник выполнил команды для экспорта электронной почты для определенных пользователей в организации, а затем вывел данные через сервер Outlook Web Anywhere (OWA) организации.

Злоумышленники, судя по всему, неплохо разбираются в Exchange. Они сразу же перечисляли различные параметры конфигурации организации через PowerShell, а также использовали файл sqlceip.exe, который на первый взгляд может показаться легитимной версией клиента телеметрии SQL Server, предоставленной Microsoft. Однако инструмент на самом деле был версией AdFind — инструмента командной строки, используемый для запроса и извлечения данных из Active Directory. Хакеры похитили данные электронной почты из целевых учетных записей и создали защищенные паролем архивы на сервере OWA жертвы, чтобы их можно было удалить с помощью простого HTTP-запроса.

Как утверждают специалисты, нападавшие неоднократно возвращались в сеть жертвы после атак. В конечном итоге злоумышленники смогли «оставаться незамеченными в течение нескольких лет».