Спецы по кибербезопасности из Volexity сказали о обнаружении новейшего способа обхода многофакторной аутентификации (MFA). Его употребляли хакеры из группировки Dark Holo в конце 2019 и сначала 2020 годов.
Началось всё заблаговременно, когда злоумышленники штурмовали почтовую систему жертвы. В ней авторизация проходила в два шага: поначалу вводились логин и пароль, а потом, на другом сервисе, проходила авторизация по второму фактору. Оттуда юзер ворачивался назад с cookie, которая подтверждала фуррор проверки.
Используя украденные при первом взломе данные (логины, пароли и ключ подписи подтверждающей cookie), хакеры смогли взломать систему и во 2-ой раз. Соединено это с тем, что опосля первого их «провала», управление по сохранности не сделалось очень поменять набор логинов и паролей. Условно, если ранее в качестве пароля употреблялся набор знаков «Summer2020!», то обновлённым паролем могло быть «Spring2020!». В итоге хакеры без усилий подобрали новейшие данные для входа и вошли в систему, за ранее подделав cookie-файл.
Механизм работы MFA / Источник: Duo Security
Специалисты Volexity отметили способности взломщиков из Dark Holo, при помощи которых они оставались незамеченными в протяжении пары лет.
Источник: Ars Technica
Источник: