Un reporte del Buró Federal de Investigaciones (FBI) señala que un grupo de hacking financiado por el gobierno de Rusia logró acceder a la infraestructura en la nube de una organización no gubernamental (ONG) abusando de una característica mal implementada en Duo MFA para la autenticación multifactor. Los atacantes habrían usado credenciales comprometidas en un ataque de fuerza bruta para acceder a una cuenta no inscrita e inactiva, aún no desactivada en el Active Directory de la organización afectada.
Según el reporte, debido a que la configuración predeterminada de Duo permite la reinscripción de un nuevo dispositivo para cuentas inactivas, los atacantes pudieron inscribir un nuevo dispositivo para esta cuenta, completar los requisitos de autenticación y obtener acceso a la red de la organización, cuyo nombre no fue revelado. Además, los equipos de la organización afectada cancelaron la inscripción en Duo de la cuenta atacada, aunque no la deshabilitaron en Active Directory.
Posteriormente, los actores de amenazas deshabilitaron el servicio de autenticación multifactor redirigiendo todas las llamadas Duo MFA a localhost en lugar del servidor Duo después de modificar un archivo de controlador de dominio. Esto les permitió autenticarse en la VPN de la ONG como usuarios no administradores, conectarse a los controladores de dominio de Windows vía Remote Desktop Protocol (RDP) y obtener credenciales para otras cuentas de dominio.
Usando estas comprometidas y con la autenticación multifactor deshabilitada, los hackers habrían podido realizar ataques de movimiento lateral y obtener acceso al almacenamiento en la nube, cuentas email y bases de datos de la ONG afectada.
El FBI, en conjunto con la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) solicitó a las organizaciones públicas y privadas aplicar algunas de las siguientes medidas para mitigar esta clase de riesgos:
- Aplicar la autenticación multifactor siempre que sea posible y revisar continuamente las políticas de seguridad activas en cada organización
- Verificar que las cuentas inactivas estén deshabilitadas de manera uniforme en los sistemas Active Directory y de autenticación multifactor
- Mantener los sistemas siempre actualizados a la más reciente versión disponible
Ambas agencias publicaron un informe detallado sobre este riesgo de seguridad, tácticas y procedimientos empelados por los hackers, indicadores de compromiso y recomendaciones técnicas, que está disponible en sus plataformas oficiales.
Aunque en el pasado algunos grupos de hacking como APT29, APT28 y Sandworm Team han encontrado la forma de atacar grandes organizaciones en E.U. empleando tácticas similares, hasta el momento no se ha atribuido la autoría de esta campaña maliciosa a algún actor estatal en específico.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad