Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpieczeństwem.

Czym jest password spraying?

Password spraing to technika ataku na konta użytkowników, w której napastnik próbuje jednego lub kilku bardzo popularnych haseł na wielu różnych kontach, zamiast zgadywać wiele haseł dla jednego konta. Działania te opisywaliśmy tutaj.

Właśnie tę technikę zaobserwował Hunteress. Skala jest pokaźna. Ponad 81 milionów prób logowania do środowisk klientów firm w okresie od 12 do 21 czerwca. W wyniku ataków przejęto już 78 kont użytkowników w 64 organizacjach.

W ciągu tych dwóch tygodni hakerzy przejmowali średnio od 2 do 4 kont dziennie, przy czym około 22 czerwca nastąpił wyraźny wzrost aktywności – tego dnia ofiarą padły 23 firmy.

Według Huntress większość prób logowania pochodziła z systemu autonomicznego AS32167, powiązanego z dostawcą usług hostingowych LSHIY LLC.

„Ataki te są częścią dużej fali ataków typu credential spray, prowadzonych z wykorzystaniem kilku różnych numerów AS (Autonomous System Numbers). W ciągu ostatnich sześciu miesięcy Huntress odnotował ponad 155-krotny wzrost liczby takich ataków wśród swoich klientów” – informuje firma.

Specjaliści Huntress zauważyli gwałtowny wzrost ataków typu password spray pod koniec maja i na początku czerwca. Obejmowały one wiele organizacji. Zdaniem badaczy ataki opierają się niemal wyłącznie na listach wcześniej skompromitowanych loginów i haseł (tzw. combo lists).

W ramach kampanii wymierzonej w Azure napastnicy wykorzystywali mechanizm uwierzytelniania OAuth ROPC (Resource Owner Password Credentials) do weryfikowania poprawności danych logowania. Choć mechanizm ten został wycofany w standardzie OAuth 2.1, nadal umożliwia wygenerowanie nowego tokena użytkownika po podaniu prawidłowych danych uwierzytelniających.

Oznacza to, że nawet jeśli w organizacji włączono uwierzytelnianie wieloskładnikowe (MFA), atakujący mogą skutecznie przejąć konto, jeśli MFA nie zostało odpowiednio skonfigurowane dla przepływu uwierzytelniania OAuth ROPC.

„ROPC jest uznawany za problematyczny z kilku powodów, a jednym z nich jest brak obsługi nowoczesnych metod uwierzytelniania, takich jak MFA czy SSO. Oznacza to, że – jak zaobserwowaliśmy w tej kampanii – ROPC przesyła hasło bezpośrednio do punktu końcowego, bez wyświetlania użytkownikowi monitu o potwierdzenie MFA” – wyjaśnia Huntress.

Analizując przypadki przejęcia kont, Huntress odkrył szereg błędów w konfiguracji MFA. W wielu organizacjach:

  • MFA nie było wymuszane dla wszystkich aplikacji chmurowych,
  • obowiązywało jedynie wybrane grupy użytkowników,
  • było wymagane wyłącznie podczas logowania z niezaufanych lokalizacji
  • lub zostało wdrożone, ale nigdy nie było faktycznie wymuszone.

„Warto zauważyć, że osiem organizacji dotkniętych tą kampanią nie posiadało żadnej polityki MFA. Choć […] cyberprzestępcy byli w stanie ominąć MFA nawet tam, gdzie było ono wdrożone, nie należy wyciągać z tego wniosku, że MFA jest nieskuteczne. Organizacje powinny natomiast upewnić się, że ich polityki MFA są poprawnie skonfigurowane i obejmują wszystkie wykorzystywane mechanizmy uwierzytelniania” – podkreśla firma.

Zakres adresów IPv6, z którego prowadzono ataki, należy do LSHIY – dostawcy infrastruktury internetowej zarejestrowanego w Hongkongu, Wuhan (Chiny) oraz Nowym Jorku. Istnieją również inne raporty, wskazujące, że zakresy IPv6 powiązane z numerami AS32167 oraz AS955, obsługiwanymi przez tę firmę, mają swoje źródło w Chinach.

Huntress poinformował o zgłoszeniu złośliwej aktywności do firmy LSHIY za pośrednictwem jej systemu zgłaszania nadużyć (abuse reporting), jednak nie otrzymał żadnej odpowiedzi.