22/12/20
Агентство национальной безопасности США сообщило о двух методах, которые использовались в ходе атак из скомпрометированных локальных сетей на облачную инфраструктуру. Предупреждение последовало за крупными атаками на цепочки поставок SolarWinds, в результате которых пострадало несколько правительственных агентств США и коммерческих организаций.
Хотя АНБ конкретно не упоминает взлом SolarWinds в своих сообщениях, оба метода, описанные в документе, использовались в ходе атак на SolarWinds для увеличения доступа к облачным ресурсам после первоначального взлома локальных сетей через зараженное приложение SolarWinds Orion.
«В рамках первого метода преступники взламывают локальные компоненты инфраструктуры федеративного единого входа и крадут учетные данные или закрытый ключ, который используется для подписи токенов языка разметки SAML (Security Assertion Markup Language). Используя закрытые ключи, злоумышленники затем подделывают доверенные токены аутентификации для доступа к облачным ресурсам…», — сообщается в документе.
В первом случае, если злоумышленники не могут получить ключ подписи, они попытаются получить достаточные административные привилегии в облачном клиенте, чтобы добавить вредоносный сертификат для подделки токенов SAML.
Во втором — преступники используют скомпрометированную учетную запись глобального администратора для назначения учетных данных субъектам служб облачных приложений. Затем хакеры вызывают учетные данные приложения для автоматического доступа к облачным ресурсам.
Как отметили сотрудники АНБ, ни один из этих методов не является новым и оба используются по крайней мере с 2017 года финансируемыми иностранным правительством хакерами. Ни один из методов не использует уязвимости в продуктах федеративной аутентификации, а скорее злоупотребляет легитимными функциями после взлома локальной сети или учетной записи администратора.
