Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Хакеры злоупотребляют системами федеративной аутентификации в США

22/12/20

АНБ-3

Агентство национальной безопасности США сообщило о двух методах, которые использовались в ходе атак из скомпрометированных локальных сетей на облачную инфраструктуру. Предупреждение последовало за крупными атаками на цепочки поставок SolarWinds, в результате которых пострадало несколько правительственных агентств США и коммерческих организаций.

Хотя АНБ конкретно не упоминает взлом SolarWinds в своих сообщениях, оба метода, описанные в документе, использовались в ходе атак на SolarWinds для увеличения доступа к облачным ресурсам после первоначального взлома локальных сетей через зараженное приложение SolarWinds Orion.

«В рамках первого метода преступники взламывают локальные компоненты инфраструктуры федеративного единого входа и крадут учетные данные или закрытый ключ, который используется для подписи токенов языка разметки SAML (Security Assertion Markup Language). Используя закрытые ключи, злоумышленники затем подделывают доверенные токены аутентификации для доступа к облачным ресурсам…», — сообщается в документе.

В первом случае, если злоумышленники не могут получить ключ подписи, они попытаются получить достаточные административные привилегии в облачном клиенте, чтобы добавить вредоносный сертификат для подделки токенов SAML.

Во втором — преступники используют скомпрометированную учетную запись глобального администратора для назначения учетных данных субъектам служб облачных приложений. Затем хакеры вызывают учетные данные приложения для автоматического доступа к облачным ресурсам.

Как отметили сотрудники АНБ, ни один из этих методов не является новым и оба используются по крайней мере с 2017 года финансируемыми иностранным правительством хакерами. Ни один из методов не использует уязвимости в продуктах федеративной аутентификации, а скорее злоупотребляет легитимными функциями после взлома локальной сети или учетной записи администратора.

Темы:СШААНБУгрозыКиберугрозы
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...