Strage di account Office 365 e Gsuite: aziende nel mirino

Strage di account Office 365 e Gsuite: aziende nel mirino
15 Marzo 2019
Sei mesi di indagini sono state necessarie per scoprire una delle più grandi campagne di cyber spionaggio mai avvenute ai danni di aziende. L'attacco ha preso di mira gli account Microsoft Office 365 e G Suite protetti con autenticazione multi-fattore e ha sfruttato il fatto che il protocollo di autenticazione IMAP bypassa l'autenticazione a fattori multipli, consentendo agli attaccanti di eseguire un attacco di credential stuffing contro asset che, altrimenti, sarebbero state protette.

C'è voluta una indagine di oltre 6 mesi sui principali co-proprietari (anche se sarebbe più corretto dire "tenants") di servizi in cloud per individuare e analizzare i massicci attacchi ai danni di aziende in tutto il mondo. Si è trattato di un attacco di brute-forcing intelligente che ha preso di mira il servizio di posta elettronica perchè non prevede, al contrario dei meccanismi di login dei servizi cloud di Microsoft e Google, l'uso di sistemi di autenticazione a due fattori.

La tecnica viene chiamata "password spraying" e prevede di invertire la normale prassi per il brute-forcing: invece di provare un numero infinito di password su un singolo account, è stata provata la stessa password su un gran numero di account. Il risultato è che i tentativi di accesso vengono in questo modo diluiti, così da non far scattare nessun allarme di sicurezza. In questa maniera gli attaccanti sono passati praticamente inosservati, dato che i tentativi di brute-forcing venivano registrati come semplici tentativi di accesso falliti da parte degli utenti.

Qualche numero...
Anzitutto, l'attacco ha riguardato circa il 2% degli account attivi nel mondo, ma, ciò che è incredibile è la percentuale di successo: quasi il 40%. Tali risultati si devono anche all'uso del credential stuffing, ovvero dell'uso di database con credenziali rubate (come Collection #1) per creare varianti verosimili delle password più utilizzate. I ricercatori anzi sospettano che sia stato usato proprio il patrimonio di credenziali di Collection#1, dato che tra tutte le violazioni riuscite, il picco è registrato a Dicembre 2018, quando appunto Collection#1 è stato pubblicato nel dark web.

L'infrastruttura di attacco
Pare che gli attacchi siano originati da migliaia di dispositivi compromessi, la maggior parte dei quali erano router e server, dislocati in svariate parti del mondo. La maggior parte degli attacchi invece sembrano provenire da Nigeria (40%) e Cina (26%), ma questo dato è poco significativo dato che è da darsi per scontato l'uso di VPN per il lancio degli attacchi.

Lo schema di attacco. Fonte: bleepingcomputer.com

Perchè questo attacco?
Si sospetta che questi attacchi su account Office e G Suite siano solo un primo step di una campagna di attacci più ampia, che preveda anche tecniche di movimento laterale (come nel caso di WannaCry) entro i sistemi attaccati.

Traendo comunque qualche conclusione, al di là delle dimensioni impressionanti di questo specifico attacco, c'è da notare come sia più che verosimile aspettarsi, nel prossimo futuro, sempre più attacchi di questo tipo: l'adozione sempre più capillare di servizi in cloud da parte delle aziende ha sicuramente avuto effetti positivi per le aziende, ma ha anche ampliato a dismisura la "superficie di attacco" per i cyber criminali.

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy