Svi na Twitter-u žele plavu kvačicu. Ali plave kvačice Microsoft Azure-a su još vrednije za hakere koji kradu Vaše podatke putem malicioznih OAuth aplikacija.
Krajem prošle godine, grupa hakera uspjela je dobiti status “Verified” izdavača kroz Microsoft Cloud Partner Program (MCPP). To im je omogućilo da nadmaše nivoe lažnog predstavljanja brenda koji se obično viđa u kampanjama za krađu identiteta, pošto su distribuisali maliciozne aplikacije podržane verifikovanom plavom značkom koja je data samo pouzdanim dobavljačima i pružaocima usluga u Microsoft ekosistemu.
MCPP je Microsoft-ov kanal partnerski program, nastanjen sa više od 400.000 kompanija koje prodaju i podržavaju njegove poslovne proizvode i usluge te grade vlastita rješenja i softver oko njih. Članovi uključuju dobavljače upravljanih usluga, nezavisne dobavljače softvera i programere poslovnih aplikacija, između ostalih.
Istraživači iz Proofpoint-a prvi put su otkrili ovu aktivnost 6. decembra prošle godine. Izvještaj objavljen 31. januara opisuje kako su hakeri koristili svoj lažni status kao provjereni izdavači aplikacija u okviru MCPP programa kako bi se infiltrirali u Cloud okruženja organizacija sa sjedištem u Velikoj Britaniji i Irskoj. Partneri za lažna rješenja ciljali su zaposlenike u financijama i marketingu, kao i menadžere i rukovodioce, putem malicioznih aplikacija. Korisnici koji su pali na bedž potencijalno su se izložili preuzimanju naloga, eksfiltraciji podataka i kompromitovanju poslovnog email-a (BEC), a njihove organizacije su bile otvorene za lažno predstavljanje brenda.
Sve u svemu, kampanja je “koristila sofisticiranost bez presedana da zaobiđe Microsoft-ove sigurnosne mehanizme”, kažu istraživači Dark Reading-u. “Ovo je bila izuzetno dobro osmišljena operacija.”
Kako su hakeri prevarili Microsoft
Da bi postali verifikovani izdavač, Microsoft Cloud partneri moraju ispuniti set od osam kriterijuma. Ovi kriterijumi su uglavnom tehnički i, kao što je Microsoft naveo u svojoj dokumentaciji, prolaz „ne implicira niti ukazuje na kriterijume kvaliteta koje biste mogli da tražite u aplikaciji“. Ali hakeri zloupotrebljavaju sistem za distribuciju malicioznih aplikacija. To ne bi trebalo da se desi.
Trik u ovom slučaju bio je u tome što su, prije krađe identiteta krajnjih korisnika, napadači prevarili sam Microsoft.
Naime, registrovali su se kao izdavači pod “prikazanim” imenima koja su oponašala legitimne kompanije. U međuvremenu, njihova povezana imena “provjerenih izdavača” bila su skrivena i malo drugačija. Primjer koji su dali istraživači je da izdavač koji se maskira kao “Acme LLC” može imati potvrđeno ime izdavača “Acme Holdings LLC”.
Očigledno, ovo je bilo dovoljno za klizanje procesom verifikacije sistema. Zapravo, primijetili su istraživači, “u dva slučaja, provjera je odobrena jedan dan nakon kreiranja maliciozne aplikacije.”
Kada je tražen komentar o neuspjehu procesa verifikacije, Proofpoint nije ponudio više detalja, a glasnogovornik Microsoft-a je samo napomenuo: „Fishing pristanka je stalni problem u cijeloj industriji i mi kontinuirano pratimo nove obrasce napada. Onemogućili smo ove maliciozne aplikacije i poduzimamo dodatne korake da ojačamo naše usluge kako bismo pomogli korisnicima da budu sigurni.”
Portparol je dodao: “Obavešten je ograničen broj kupaca na koje je uticala kampanja opisana na blogu Proofpoint.”
Kako su hakeri prevarili poslovne korisnike
Nakon što su dobili svoj potvrđeni status, hakeri su počeli širiti maliciozne OAuth aplikacije, sve popularnije sredstvo za kibernetičke napade posljednjih godina. Namjestili su ove aplikacije da traže širok pristup računima žrtava.
“Haker je koristio lažne partnerske račune da doda verifikovanog izdavača registracijama OAuth aplikacija koje su kreirali u Azure AD”, navodi se u savjetu objavljenom 31. januara. “Aplikacije koje su kreirali ovi hakeri zatim su korištene u kampanji za krađu pristanka, koja prevario korisnike da daju dozvole lažnim aplikacijama.”
OAuth, skraćenica za „otvorena autorizacija“, je okvir zasnovan na tokenima koji omogućava korisnicima da ovlaste dijeljenje određenih podataka između aplikacija trećih strana, bez potrebe da otkrivaju svoje kredencijale za prijavu u procesu. Uobičajeni primjer su opcije “prijava putem Google-a” ili “prijava putem Facebook-a” koje mnoge web stranice nude kako bi se izbjeglo stvaranje novog skupa kredencijala za korištenje sa web lokacijama. OAuth dijalozi su dovoljno uobičajeni da korisnici obično samo pritisnu “Prihvati”, bez udubljivanja u fine detalje na šta pristaju.
Uklanjanje ove phishing kampanje pristanka zahtijevalo bi mnogo više budnosti od toga.
Osim pečata odobrenja “provjerenog” izdavača, napadači su dali nejasna i bezazlena imena aplikacijama koje su tražile dozvole: dvije su se zvale jednostavno “Single Sign-on (SSO)”, a jedna “Meeting”. Iako su objavljivali pod maskom drugih lažnih organizacija, napadači su odabrali ime domaćinstva koje će prikazati korisnicima u fazi tražene dozvole.
“Napadači su koristili različita polja podataka da prevare ciljane korisnike”, rekli su istraživači Proofpoint-a. “Koristili su jedno ime, identično imenu lažne organizacije, kao vidljivo ime izdavača. Drugo ime je korišteno kao skriveni parametar, nije vidljivo na stranici za pristanak maliciozne aplikacije.”
U jednom slučaju, “koristili su zastarjelu verziju dobro prepoznate ikone Zoom”, objasnili su autori Proofpoint-a u izvještaju, “i preusmjerili na URL-ove koji liče na Zoom, kao i na originalnu Zoom domenu, kako bi povećali svoj kredibilitet.”
Da zaključimo, rekli su otvoreno: “Krajnji korisnici će vjerovatno postati plijen naprednih metoda društvenog inženjeringa opisanih na ovom blogu.”
Žrtve koje su pale na gambit dale su svojim napadačima dozvolu da pristupe posebnim područjima njihovih naloga, poput njihovih poštanskih sandučića i kalendara. Dozvole su takođe uključivale pristup van mreže, omogućavajući hakerima da rade ono što žele potpuno van vidokruga.
Lažne OAuth aplikacije: Takeaways for Business
Nakon što je saznao za kampanju 15. decembra, Microsoft je ugasio maliciozne aplikacije i povezane naloge izdavača. Zatim je angažovao svoju jedinicu za digitalne zločine da dalje istraži.
Prema Microsoft-u, “Mi smo implementirali nekoliko dodatnih sigurnosnih mjera kako bismo poboljšali MCPP proces provjere i smanjili rizik od sličnog lažnog ponašanja u budućnosti.”
Da bi se odbranili od budućih kampanja ove vrste, istraživači Proofpoint-a su preporučili implementaciju efikasnih sigurnosnih rješenja u Cloud-u kako bi se pomoglo u otkrivanju malicioznih aplikacija i uputili čitaoce na Microsoft-ov savjet u vezi sa phishing-om pristanka. Njihov najvažniji savjet je bio “da budete oprezni kada odobravate pristup OAuth aplikacijama trećih strana, čak i ako ih je potvrdio Microsoft.”
“Nemojte,” napisali su, “vjerovati i oslanjati se na OAuth aplikacije samo na osnovu njihovog statusa potvrđenog izdavača.”
Izvor: Dark Reading
