互聯(lián)網(wǎng)時(shí)代,黑客攻擊早已不是難得一見的新聞,可最近幾日,仍有一起黑客攻擊事件成功引發(fā)安全圈熱議:微軟遭黑客組織 Lapsus$ 入侵。
3 月 21 日晚,Lapsus$ 公開了從微軟 Azure DevOps 服務(wù)器盜取的 37GB 源代碼,這些被盜的源代碼,用于微軟的各種內(nèi)部 Microsoft 項(xiàng)目,包括 Bing 搜索、Cortana 語(yǔ)音助手和 Bing 地圖等。
遭泄漏的源代碼項(xiàng)目
第二天,微軟發(fā)布公告確認(rèn),確實(shí)有一名員工賬戶遭到 Lapsus$ 黑客組織入侵,并且獲取了對(duì)源代碼存儲(chǔ)庫(kù)的有限訪問權(quán)限。
通常情況下,一聽到某家公司被黑客入侵,不少人下意識(shí)認(rèn)為,肯定是這家公司的安全防范措施不到位。盡管這種推論確實(shí)存在,卻并不適用于理解這次入侵,因?yàn)槲④浽诎踩揽胤矫妫⒎侨蹼u。
微軟堪稱安全行業(yè)的巨無(wú)霸,安全、合規(guī)、身份與管理部門的員工有萬(wàn)人之多,占員工總?cè)藬?shù)(約 20 萬(wàn)人)的 5%。這些萬(wàn)中選一的精英人才,專門為企業(yè)安全保駕護(hù)航,完全不是吃素的。
這樣看來(lái),Lapsus$ 黑客組織同樣不是吃素的。
Lapsus$ 是個(gè)黑客組織新秀,2021 年 12 月因入侵巴西衛(wèi)生部首次引發(fā)關(guān)注,從此開始瘋狂席卷全球科技巨頭,英偉達(dá)、三星、沃達(dá)豐等都遭其黑手。
更氣人的是,這個(gè)組織的字典里沒有低調(diào)二字,他們專門設(shè)立了一個(gè) Telegram 頻道,用來(lái)展示自己在入侵道路上的各種證明材料,此舉甚至吸引了一大批追隨者。
這次微軟遭到入侵,盡管公告中并未透露賬戶是如何被入侵的,但微軟還是提供了一個(gè)解題思路:枚舉了 Lapsus$ 常用的 4 種入侵手法。
1、部署惡意 Redline 密碼竊取程序,這是一種木馬程序,能夠獲取密碼和會(huì)話令牌;
2、從地下犯罪論壇購(gòu)買密碼和會(huì)話令牌;
3、向目標(biāo)組織的員工 (或供應(yīng)商/商業(yè)伙伴) 支付費(fèi)用,直接購(gòu)買他們的密碼或二次認(rèn)證口令;
4、在公共代碼庫(kù)中搜索公開的憑據(jù)。
以上四種方法中,1、3、4 都屬常規(guī)操作,唯獨(dú) 3,也就是直接向目標(biāo)公司內(nèi)部員工付費(fèi)購(gòu)買密碼或二次認(rèn)證口令,這波操作屬實(shí)夠騷,但也最有效。
3 月 10 日,Lapsus$ 在 Telegram 上發(fā)布了一則另類的招聘啟事,面向各大電信運(yùn)營(yíng)商、科技巨頭類公司雇員,求購(gòu) VPN、Citrix、Anydesk 等權(quán)限。當(dāng)然,開出的報(bào)酬也非常誘人:周薪 2 萬(wàn)美金,這意味著每月高達(dá) 8 萬(wàn)美金,實(shí)屬高薪?jīng)]錯(cuò)了。
明目張膽招聘內(nèi)鬼
不知有多少相關(guān)員工看了會(huì)心動(dòng)?畢竟,在整個(gè)安全鏈條上,最大的漏洞就是人。
“購(gòu)買密碼”這種操作屬于「社會(huì)工程學(xué)攻擊」的一種,指的是攻擊者對(duì)目標(biāo)對(duì)象進(jìn)行心理操縱,使其步步走入提前設(shè)好的陷阱,最終泄漏機(jī)密信息。
而且,Lapsus$ 在一系列入侵攻擊中,還利用了另外一種「社會(huì)工程學(xué)攻擊」手段:MFA 雙因子認(rèn)證 (Multi-factor authentication)。
很長(zhǎng)時(shí)間以來(lái),MFA 被看作是防止賬戶被盜最有效的核心防御手段之一,更重要的是,它在現(xiàn)實(shí)中已經(jīng)被廣泛使用。
比如當(dāng)你登陸某平臺(tái)時(shí),在正確輸入用戶名和密碼外,MFA 還需要你配合出示另一種驗(yàn)證因素,例如指紋、短信/語(yǔ)音驗(yàn)證碼、數(shù)字口令等,只有順利完成二次驗(yàn)證,才能訪問賬戶。
然而,Lapsus$ 這類黑客組織正在向外界證明,MFA 并非牢不可破。
由于很多 MFA 提供商允許用戶接受手機(jī)應(yīng)用程序推送驗(yàn)證通知、短信接收驗(yàn)證碼、接聽語(yǔ)音驗(yàn)證電話,或者簡(jiǎn)單按下屏幕上出現(xiàn)的確認(rèn)按鈕作為第二個(gè)因素,黑客組織利用這一點(diǎn),向終端用戶的合法設(shè)備發(fā)出多次 MFA 請(qǐng)求,目的只有一個(gè):誘導(dǎo)用戶接受 MFA 請(qǐng)求。
至于具體操作,包括三種:
1、向目標(biāo)用戶發(fā)送一堆 MFA 請(qǐng)求,迫使用戶接受其中一個(gè)來(lái)終止更多騷擾。
2、每天發(fā)送一到兩個(gè)提示,盡管這種方法吸引的注意力較少,但“仍然有一個(gè)很好的機(jī)會(huì),令目標(biāo)用戶接受 MFA 請(qǐng)求。”
3、給目標(biāo)用戶打電話,假裝是公司的一部分,告訴用戶需要發(fā)送 MFA 請(qǐng)求作為公司流程的一部分。
盡管如今已經(jīng)證明,MFA 也有漏洞可循,但整體來(lái)看,任何形式的 MFA 還是比不使用 MFA 要好得多。
此外,在微軟所披露的報(bào)告中,還有一個(gè)手法值得關(guān)注:SIM 卡交換攻擊。
簡(jiǎn)單來(lái)說(shuō),就是冒充你給 SIM 卡運(yùn)營(yíng)商打電話,掛失并補(bǔ)辦一張新 SIM 卡。攻擊者拿到卡后,通過(guò)另一支手機(jī)開機(jī),使用補(bǔ)辦的 SIM 卡接管你的手機(jī)號(hào)碼,接收你的短信驗(yàn)證碼等信息,通過(guò)重置賬號(hào)密碼的方式,入侵你的多個(gè)賬戶。
就是這樣一個(gè)看起來(lái)毫無(wú)技術(shù)含量的手法,在 2018 年 1 月至 2020 年 12 月期間,F(xiàn)BI 互聯(lián)網(wǎng)犯罪投訴中心收到的報(bào)案數(shù)量達(dá) 320 起,涉及總金額高達(dá) 1200 萬(wàn)美元。而 2021 年全年,報(bào)案數(shù)字更是上升到了 1611 起,涉案金額升至 6800 萬(wàn)美元。
SIM 卡交換攻擊根本無(wú)需繞過(guò)手機(jī)復(fù)雜的安全機(jī)制,一旦攻擊成功,真實(shí)用戶的電話就會(huì)失去網(wǎng)絡(luò)連接,無(wú)法撥打或接聽電話,而攻擊者就可以為所欲為。
除 SIM 卡交換攻擊外,還有一種攻擊手段值得關(guān)注:SIM 卡克隆攻擊。
2015 年,全球最大的 SIM 卡芯片制造商 Gemalto 遭黑客入侵,SIM 卡的關(guān)鍵秘鑰 KI 疑似遭到竊取。
SIM 卡克隆,是一個(gè)非常專業(yè)的技術(shù)過(guò)程,但核心的參數(shù)只有兩個(gè):IMSI,KI。
IMSI,全稱 International Mobile Subscriber Identification Number,國(guó)際移動(dòng)用戶識(shí)別碼,長(zhǎng)度不超過(guò) 15 位,相當(dāng)于 SIM 卡的用戶名;
Ki (Key identifier),網(wǎng)絡(luò)驗(yàn)證秘鑰,同時(shí)也是 SIM 克隆的關(guān)鍵。
Ki 一般存儲(chǔ)在兩類公司:電信運(yùn)營(yíng)商,SIM 卡制造商。這就是為什么 Lapsus$ 的招聘啟事中,特別提到電信運(yùn)營(yíng)商的原因。
攻擊者完成 SIM 卡克隆后,新舊兩張 SIM 卡都有效,但只允許最后接入網(wǎng)絡(luò)的這張新卡在網(wǎng),而舊卡不會(huì)收到任何短信驗(yàn)證碼。
攻擊者利用手中的新卡接收驗(yàn)證碼,進(jìn)而重置密碼或直接進(jìn)行業(yè)務(wù)操作,等用戶發(fā)覺時(shí),損失已經(jīng)造成。
隨著技術(shù)進(jìn)步,社會(huì)工程學(xué)攻擊手段也愈發(fā)精致,此次微軟被入侵絕不會(huì)是最后一例,只能說(shuō):道高一尺,魔高一丈;網(wǎng)絡(luò)安全,任重道遠(yuǎn)。
參考資料:
1、
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/2、
https://mp.weixin.qq.com/s/6Nx3H48592fR2d2-YstVEw3、
https://www.wired.com/story/multifactor-authentication-prompt-bombing-on-the-rise/#intcid=_wired-verso-hp-trending_1a5b336d-2544-4d71-9978-7904ecee6869_popular4-1
文 | 木子Yanni
