26 proc. spośród wszystkich działań podejmowanych w 2023 r. przez zespół reagowania na incydenty Cisco Talos Incident Response dotyczyło ataków z wykorzystaniem przejętych kont użytkowników. Nielegalne pozyskanie danych logowania do kont użytkowników pozwala atakującym uzyskać dostęp do systemu, pozostawać tam w ukryciu i wykradać dane, jak również rozszerzać zakres posiadanych uprawnień i infiltrować kolejne obszary firmowej sieci. To druga najczęstsza metoda ataków spośród wszystkich technik cyberprzestępczych wymienionych w ogólnodostępnej bazie wiedzy MITRE ATT&CK, którą eksperci z zespołu Cisco Talos zaobserwowali w gromadzonych przez siebie danych telemetrycznych w 2023 r.
Biorąc pod uwagę tylko statystyki Cisco Talos z ostatniego kwartału 2023 r., napastnicy równie często uzyskiwali nieuprawniony, inicjalny dostęp do zasobów poprzez zastosowanie przejętych loginów i haseł do legalnych kont, jak wykorzystywanie podatności w publicznie dostępnych aplikacjach sieciowych. Co trzecie wykryte narzędzie, jakim posługiwali się cyberprzestępcy, służyło do uzyskiwania dostępu i gromadzenia danych uwierzytelniających.
Zdaniem specjalistów z Cisco Talos popularność tego typu ataków ma trojakie podłoże:
- większość firm uważa, że cyberataki będą pochodzić „z zewnątrz";
- skradzione dane uwierzytelniające są przedmiotem handlu w sieci dark web;
- atakujący wykorzystują współczesne trendy.
Rośnie popularność rozwiązań chmurowych, z coraz większą liczbą usług i aplikacji łączymy się zdalnie, a dostęp do zasobów firmowych uzyskujemy również za pośrednictwem urządzeń prywatnych (tylko w obrębie Cisco odnotowuje się obecnie 1,5 mld żądań uwierzytelniania wieloskładnikowego miesięcznie za pośrednictwem usługi Cisco Duo). W tych warunkach uzyskanie dostępu do sieci poprzez włamanie siłowe jest z perspektywy atakującego nieoptymalne – łatwiej o udany atak tożsamościowy, poprzedzony kradzieżą danych logowania.
Brak uwierzytelniania wieloskładnikowego lub jego niewłaściwa implementacja jest najważniejszą słabością systemów bezpieczeństwa, czytamy w raporcie „Cisco Talos Incident Response Quarterly Trends”. Według danych firmy Oort, którą Cisco przejęło w 2023 r., 40 proc. jej korporacyjnych klientów nie ma wdrożonego uwierzytelniania wieloskładnikowego MFA (Multifactor authentication) lub używa niewydolnego systemu autoryzacji, na przykład wiadomości SMS.
Atakujący skutecznie uzyskują dostęp do systemów przy użyciu ważnych danych uwierzytelniających, korzystając z różnych taktyk. Eksperci z zespołu Cisco Talos spotykają się z następującymi praktykami:
Poświadczenia skradzione z magazynów haseł. Dane skradzione z magazynów haseł zajęły 4. miejsce na liście 20 najpopularniejszych technik MITRE ATT&CK, które Talos zaobserwował w 2023 r. Dzieje się tak, gdy użytkownicy przechowują hasła w aplikacjach lub przeglądarkach internetowych. Technika ta jest wykorzystywana przez podmioty stanowiące zagrożenie od wielu lat, ale tempo, w jakim to się dziś odbywa, podkreśla potrzebę korzystania przez organizacje i użytkowników prywatnych z zewnętrznych menedżerów haseł, a nie tych wbudowanych w przeglądarki internetowe.
Poświadczenia skradzione z fałszywych stron logowania w wyniku ataków phishingowych. Atakujący często replikują strony logowania popularnych usług, takich jak Microsoft Office 365, wysyłając użytkownikom e-maile z prośbą o zalogowanie się na przykład z powodu problemu z kontem. Za fałszywą kopią strony kryje się złośliwe oprogramowanie stworzone do przechwytywania danych konta.
Przechwytywanie wprowadzanych danych. Najbardziej rozpowszechnionym rodzajem przechwytywania danych wprowadzanych przez użytkownika jest tzw. logowanie klawiszy – rejestrowanie naciśnięć klawiszy przez użytkownika w celu przechwycenia danych uwierzytelniających, gdy ofiara je wpisuje.
Kradzież lub fałszowanie biletów Kerberos. Kerberos to protokół autoryzacji sieciowej, który uwierzytelnia żądania usług i przyznaje bilet na bezpieczne połączenie. Napastnicy próbują wykraść te bilety (lub je sfałszować), aby zapewnić sobie nieautoryzowany dostęp.
Ataki na nieaktywne konta. Według danych Oort z 2022 r., w przeciętnym przedsiębiorstwie nieaktywne konta stanowią prawie 25 proc. wolumenu wszystkich kont. Konta te są regularnie celem ataków (średnio ponad 500 razy miesięcznie). Atakujący będą szukać kont, które nie są regularnie używane, ale nadal mają dostęp do sieci (na przykład konto pracownika, który opuścił firmę, ale jego dostęp nigdy nie został usunięty).
Złośliwe oprogramowanie wykradające informacje. Tzw. infostealery mogą być wykorzystywane do uzyskiwania dostępu do wszelkiego rodzaju poufnych informacji, w tym danych finansowych i również własności intelektualnej – jak również do uzyskiwania dostępu i gromadzenia danych uwierzytelniających użytkowników.
Ataki siłowe. Jeśli atakujący ma część danych logowania, może spróbować techniki brute force – wielokrotnie ponawianych prób odgadnięcia hasła.
„Rozpylanie” haseł. Szczególny typ ataku siłowego, gdzie zamiast wymuszania hasła w systemie atakujący używają haseł z uzyskanych w wyniku wcześniejszych wycieków informacji. Wypróbowują je w popularnych usługach internetowych w nadziei, że użytkownicy ponownie użyją swoich haseł. Zmniejsza to szansę na wykrycie i zablokowanie hasła.
Wyłudzanie danych za pomocą kodów QR. Skanowanie kodów QR zaszytych w mailach cyberprzestępców może zwiększać ryzyko utraty danych logowania – urządzenia mobilne, zwykle służące do skanowania kodów, są słabiej zabezpieczone przed cyber-atakami.
Ataki insiderów. Nadal spotykamy się z przypadkami tradycyjnych zagrożeń wewnętrznych, tj. pracowników, którzy celowo chcą wyrządzić szkody w sieci swojej organizacji – dla korzyści finansowych albo z powodu frustracji związanej z samą organizacją. Coraz częściej można też spotkać się z inną kategorią ataków wewnętrznych – „nieświadome zasoby”. W tych wypadkach napastnicy wykorzystują inżynierię społeczną, aby wykorzystać użytkownika do działania w ich imieniu, zazwyczaj poprzez pewną formę manipulacji.
Eksperci Cisco zaznaczają, że obrona przed atakami związanymi z tożsamością jest trudna, gdyż mamy do czynienia z wykorzystaniem rzeczywistych danych wykorzystywanych do logowania. Zalecają m.in.:
- Ograniczenie uprawnień dostępowych użytkowników do zakresu niezbędnego do wykonywania przez nich obowiązków. Rekomendują podejście oparte na architekturze Zero Trust, która weryfikuje połączenie użytkownika z każdym urządzeniem i każdą aplikacją.
- Ograniczenie liczby możliwych kolejnych nieudanych prób logowania celem zapobiegnięcia atakom siłowym (brute force).
- Wdrożenie uwierzytelniania wieloskładnikowego w obrębie całej sieci.
- W wypadku administratorów IT – przeprowadzanie „poziomej” inspekcji sieci, a nie tylko kontroli ruchu przychodzącego i wychodzącego.
- Przyjęcie podejścia typu „obrona w głąb", aby w przypadku awarii części zabezpieczeń inne zabezpieczenia mogły wykrywać anomalie i włamania.
- Przeprowadzanie rutynowych audytów i usuwanie nieaktywnych kont – w szczególności kont roboczych, zakładanych i konfigurowanych na potrzeby testów nowych rozwiązań. Warto wdrożyć procedury automatycznego wyłączania kont testowych po zakończeniu projektu.
- Wyłączanie kont osób, które opuściły organizację i usuwanie uprawnień zdalnego dostępu (np. przez VPN).
- Wdrożenie systemu kontroli do obsługi transakcji finansowych, aby żadna osoba nie mogła zainicjować i wykonać przelewu bez dodatkowej zgody. Może to pomóc w ograniczeniu ataków socjotechnicznych na użytkowników zajmujących się płatnościami.
- Politykę aktywnego wyszukiwania włamań. Oprócz znalezienia możliwych naruszeń można w ten sposób identyfikować obszary, w których można poprawić ogólne bezpieczeństwo sieci.