Esses perfis são o alvo para burlar a autenticação em duas etapas. Quem está por trás disso? O grupo Cozy Bear
Contas abandonadas e antigas estão sendo usadas por criminosos como recurso para burlar a autenticação em duas etapas em corporações. A tática envolve a utilização de credenciais vazadas e a aposta em um baixo monitoramento de perfis, abusando de sistemas de cadastros que são feitos pelos próprios usuários uma vez que a medida de segurança se torna mandatória em uma organização.
A técnica detalhada pelos pesquisadores em segurança digital da Mandiant foi aplicada em perfis da Microsoft, mais especificamente, do Azure Active Directory. A ideia é que, a partir destes perfis “esquecidos”, os criminosos podem ter acesso a códigos legítimos de verificação em duas etapas que, mais tarde, podem ser usados para invadir não só os sistemas de nuvem, mas também contas do Office e demais plataformas da gigante.
O problema se torna ainda maior com a afirmação de que o processo estaria sendo usado em operações de espionagem pelo grupo Cozy Bear. Também conhecida como APT29, a quadrilha é associada ao governo da Rússia e realiza operações em prol dos departamentos de inteligência do país, comumente focadas em espionagem política e industrial.
Quando descrito, o processo chega a soar até simples. Normalmente, quando a verificação em dois fatores é ativada em uma organização, os usuários devem realizar o processo por conta própria, tendo acesso a um código QR para ser lido em um app de gerenciamento de senhas que, dali em diante, fornecerá os códigos adicionais para login. Essa etapa é aplicada a todas as contas de uma vez, mas cabe a cada colaborador completar as etapas.
Isso também vale para perfis antigos ou abandonados, pertencentes a ex-funcionários, administradores ou criados para testes, por exemplo. Usando credenciais vazadas, os criminosos conseguem acesso a tais contas e realizam o cadastro da autenticação em duas etapas em um dispositivo próprio, ganhando acesso aos sistemas de uma organização de acordo com as permissões configuradas originalmente e abrindo as portas para novas explorações.
De acordo com a Mandiant, o problema está na ausência de verificação durante o processo de cadastro das contas na verificação em dois fatores. Isso sem falar, claro, na falta de monitoramento e políticas de segurança relacionadas a perfis antigos ou que não estão mais em uso, que permanecem como um vetor importante de entrada nos sistemas de grandes organizações.
No caso analisado pelos pesquisadores, esse aspecto permitiu que um terceiro acessasse a infraestrutura de VPN de uma grande organização, que não foi revelada, e de lá, poderia roubar dados ou lançar novos ataques. Além do Cozy Bear, não são citados casos de outros grupos criminosos usando a mesma tática.
Como se proteger
A verificação de identidade no momento do cadastro da autenticação em duas etapas é o ponto primordial. Os especialistas sugerem que esse processo só possa ser feito a partir de dispositivos ou locais certificados, como a rede interna da companhia ou dispositivos entregues por ela aos colaboradores.
Além disso, a Mandiant sugere o uso de autenticação para cadastro na verificação múltipla, com a concessão de passes temporários e exclusivos que permitam o registro de um dispositivo no sistema. Regras de controle, bloqueio e monitoramento de perfis inativos, pertençam eles a tarefas de desenvolvimento ou a funcionários desligados ou ausentes, também são essenciais para garantir a integridade das redes.
FONTE: CANALTECH