Żądny wiedzy? Wbijaj na Mega Sekurak Hacking Party w maju! -30% z kodem: majearly
~Chińska grupa hackerska siedziała niewykryta przez ponad 2 lata w infrastrukturze największego producenta chipów w Europie.
Chodzi o holenderskiego giganta NXP (przychód: 13 miliardów USD w 2022 roku). Jak czytamy, do włamania doszło w wyniku przejęcia danych pracowników, które zostały zlokalizowane w ~publicznie dostępnych wyciekach. Najprawdopodobniej niektórzy pracownicy używali takich samych haseł w różnych serwisach… Inna hipoteza: w wyciekach zlokalizowano tylko np. adresy e-mail / numery telefonów, a hasła były tak łatwe, że udało się je zgadnąć metodą brute force:
They obtain this account information from previous data leaks from other web services, such as LinkedIn or Facebook. By then guessing the passwords using brute force, the hackers gain access to the VPN network. Although NXP has protected its systems with an extra code provided over the telephone, hackers circumvent this double authentication by changing telephone numbers.
Nieco niejasny może się wydawać opis ominięcia mechanizmów 2FA do VPNa, ale jeśli wczytamy się w ten wpis, poznamy szczegóły:
VPN był zabezpieczony uwierzytelnianiem dwuskładnikowym (2FA) poprzez wysłanie wiadomości SMS z hasłem jednorazowym (OTP) na podstawowy lub alternatywny numer telefonu konta użytkownika. Na portalu firmowym istniała możliwość skonfigurowania alternatywnego numeru telefonu dla konta zalogowanego użytkownika. Hackerzy wykorzystali tę możliwość do skonfigurowania alternatywnego numeru telefonu i w ten sposób przejęli kody 2FA.
The VPN was protected by two-factor authentication (2FA) by sending an SMS with a one-time password (OTP) to the user account’s primary or alternate phone number. It was possible to configure an alternate phone number for the logged in user account at the company portal. The adversary used this opportunity to configure an alternate phone number controlled by the adversary.
Najprawdopodobniej hackerzy mieli dostęp do infrastruktury ofiary od końca 2017 roku, aż do początku 2020. Jak starali się ukrywać „wysysanie” z firmy dużej ilości danych? Poprzez wysyłanie ich na „znane usługi chmurowe” – np. Google Drive (normalni użytkownicy również z tego korzystają – więc nie wzbudziło to alarmów w systemach monitorujących infrastrukturę).
~ms
Nie wierze, że metoda brutal force by takie coś przeszło więc albo zabezpieczenia były z tyłka wzięte albo artykuł jest jednym z tych co się publikuje w celach ostrzeżeń przed działaniami służb :)
Podobna sytuacja miała miejsce w firmie Arex obok Radmor części WB grup czyli naszego przemysłu zbrojeniowego. Całość zamieciono pod dywan , nie poinformowano pracowników ani kontrahentów o sytuacji że byli szpiegowani przez kilka miesięcy albo i dłużej. Na koniec zaszyfrowali im dyski.
Chyba znam odpowiedź na pytanie „czy czołowa polska firma zbrojeniowa ma wewnętrzny red team adekwatny do zagrożeń oraz solidny SOC który ten red team mógłby testować?”
Po co wstawiacie fragmenty oryginalnego tekstu po angielsku? Nie ufacie swojemu tłumaczeniu? Potrzebujecie dowodu na to, że w oryginale było napisane tak, jak stoi w waszym artykule?
To może po prostu dawajcie linka do oryginału i sami sobie przeczytamy :)
Czasem te tłumaczenia są dość luźne (ale w miarę możliwości dobrze oddające istotę problemu). W związku z tą luźnością – załączamy oryginał (czasem też z lekko większym kontekstem).
A ja właśnie wolę jak jest tak, jak robią. Zostawiają oryginał by bieglejsi w językach sami ocenili, a jednocześnie tłumaczą na polski dla większości.
I zupełnie nie kupuję „angielski każdy przecież zna” – nie każdy i nie wystarczająco.
Tak, tylko aby zmienić/dodać alternatywny numer telefonu należało się wcześniej zalogować, ale żeby się zalogować należało podać kod z SMSa.
No z całości wynika, że najpewniej nie. Tj. zapewne:
1) portal pracownika dostępny z Internetu (nie wymaga 2FA) – można tu było dodać nr alternatywny
2) VPN (wymaga 2FA)
Jeśli tak było, to CISO się nie popisał, bo:
a) były robione zewnętrzne testy typu red team ale za rzadko albo skupiały się na tym samym
albo
b) brak wewnętrznego red teamu który by rzetelnie zbadał tzw. „attack surface”
albo
c) były robione wszystkie testy red teamowe, ale brakowało kompetencji by rzetelnie ocenić braki w scope i jakość testów. Typowy problem to „nie dotykamy nic w obszarze X bo ryzyka prawne”, gdzie X dotyka systemów HR, sprawozdawczości finansowej, dokumentów prawnych.
.
Z moich obserwacji to w Europie wewnętrzny red teaming niemal nie istnieje, a zewnętrzny to najczęściej „wydajmy kupę kasy w Big4, niech nam zrobią phishing, password spray i wejdą do biura, będziemy bezpieczniejsi jak załatamy 25% problemów z raportu”
Zależy, jak usługa 2FA została skonfigurowana. Czasami SMS lub tzw. Authenticator nie jest wywoływany za każdym razem, lecz losowo co któraś próba logowania. Można więc próbować i trafić na taką sekwencję, gdzie drugi krok uwierzytelniania jest pominięty.