Специалисты по кибербезопасности из Volexity сообщили об обнаружении нового метода обхода многофакторной аутентификации (MFA). Его использовали хакеры из группировки Dark Holo в конце 2019 и в начале 2020 годов.
Началось всё заранее, когда злоумышленники атаковали почтовую систему жертвы. В ней авторизация проходила в два этапа: сначала вводились логин и пароль, а затем, на другом сервисе, проходила авторизация по второму фактору. Оттуда пользователь возвращался обратно с cookie, которая подтверждала успех проверки.
Используя украденные при первом взломе данные (логины, пароли и ключ подписи подтверждающей cookie), хакеры смогли взломать систему и во второй раз. Связано это с тем, что после первого их «провала», руководство по безопасности не стало сильно менять набор логинов и паролей. Условно, если раньше в качестве пароля использовался набор символов «Summer2020!», то обновлённым паролем могло быть «Spring2020!». В итоге хакеры без труда подобрали новые данные для входа и вошли в систему, предварительно подделав cookie-файл.
Эксперты Volexity отметили навыки хакеров из Dark Holo, с помощью которых они оставались незамеченными на протяжении нескольких лет.
Источник: Ars Technica
Источник: