Агенцията за киберсигурност и инфраструктурна сигурност (CISA) публикува доклад за хакерската група LAPSUS$, в който призовава публичните и частните организации да приемат удостоверяване без парола и архитектура на нулево доверие, за да ограничат бъдещи атаки.

В рамките на доклада агенциите, които допринасят за него, признават, че методологията на LAPSUS$ е често срещана и в миналото е разчитала по-скоро на пропуски в организационната сигурност, отколкото на нови вектори на атака.

Освен това те призоваха за по-добри стратегии за предотвратяване и реагиране на кибератаки, както и за по-тесен диалог по въпросите на сигурността между компаниите и доставчиците от трети страни.

През 2021 г. и 2022 г. хакери, идентифициращи се с групата LAPSUS$, извършиха редица кибератаки срещу организации, като се възползваха от слабости като прекомерното разчитане на двуфакторна автентикация, базирана на SMS.

Въз основа на констатациите CISA издаде серия от незабавни препоръки, включително предприятията да възприемат методи за удостоверяване без парола и да прилагат по-добра защита срещу социалния инженеринг и фишинга, които са предпочитани от LAPSUS$.

Участниците в заплахите от LAPSUS$ са показали, че умеят да използват социално инженерство, за да получат телефонните номера и паролите на жертвите. Методите включват претърсване на публична информация и измамни телефонни обаждания, които са подкрепени от фишинг.

На разработчиците на приложения беше изрично казано да въведат удостоверяване, съвместимо с FIDO 2, в потребителските телефони по подразбиране, което от своя страна ще даде възможност на предприятията лесно да преминат към удостоверяване без парола за целия персонал.

Докладът е изготвен от Съвета за преглед на киберсигурността (CSRB), който включва членове от Министерството на вътрешната сигурност, CISA, Министерството на отбраната, Федералното бюро за разследване и частни компании като Google и Palo Alto Networks.

Доставчиците на телекомуникационни услуги бяха посъветвани да въведат защити за предотвратяване на атаки, свързани с размяна на SIM карти, при които хакерът използва процеса, който потребителите използват за преместване на телефонния си номер на ново устройство, за да активира своя собствена SIM карта под номера на жертвата.

Имайки контрол над номера на жертвата, нападателите могат да използват двуфакторно удостоверяване чрез SMS, за да разширят достъпа си до чувствителни акаунти.

„Съветът проучи как една слабо организирана група хакери, някои от които тийнейджъри, постоянно успява да проникне в най-защитените компании в света“, заяви Робърт Силвърс, председател на CSRB и заместник-министър на DHS по въпросите на политиката.

„Открихме пропуски в начина, по който компаниите гарантират сигурността на своите доставчици; как операторите на мобилни телефони защитават клиентите си от подмяна на SIM карти; и как организациите удостоверяват потребителите в своите системи. Съветът представи конкретни препоръки за решаване на тези и други проблеми в съответствие с мандата на Съвета за провеждане на всеобхватни прегледи на най-значимите киберинциденти.“

CISA заяви, че операторите на мобилни мрежи трябва да възприемат подходи на нулево доверие към сигурността и да инвестират в методи, чрез които компрометираните устройства могат да бъдат изтрити от разстояние.

Федералната комисия по комуникациите (FCC) и Федералната комисия по търговията (FTC) също изрично поискаха от телекомуникационните оператори да бъдат по-прозрачни, когато става въпрос за статистиката за подмяна на SIM карти.

Фактът, че някои от хакерите от групата LAPSUS$ са били тийнейджъри, се повтаря в целия доклад и се използва, за да се подчертае неприемливата лекота, с която са извършени някои от атаките.

Беше предложено също така агенциите в САЩ да последват примера на някои международни правоприлагащи агенции и да въведат схеми за идентифициране на рискови непълнолетни и да подкрепят техните кибернетични хобита по положителен начин, например чрез турнири по игри.

Това беше определено като икономически ефективен начин за намаляване на атаките, както и за насочване на талантливи хора към роли в областта на киберсигурността, за да се преодолее недостигът на технически умения.

За да се подобри целият сектор, авторите също така насърчиха частните компании да споделят с правителството повече данни за кибератаки, а държавните структури да разширят сътрудничеството си с международните правоприлагащи органи за издирване на киберпрестъпници.

„Последният доклад на CSRB засилва необходимостта всички организации да предприемат спешни мерки за повишаване на киберустойчивостта си, включително въвеждане на устойчива на фишинг многофакторна автентикация“, заяви Джен Истърли, директор в CISA.

„Очаквам с нетърпение да работим с нашите федерални и индустриални партньори, за да предприемем действия по препоръките на CSRB, включително да продължим работата си с производителите на технологии за осигуряване на сигурност по проект, за да гарантираме, че необходимите функции за сигурност се предоставят на клиентите без допълнителни разходи.“

LAPSUS$, проследявана от Microsoft като Strawberry Tempest, е свързана с редица известни кибератаки и се нарежда сред най-активните и злонамерени групи от 2022 г.

През 2022 г. групата хакна Nvidia и изнесе вътрешни данни на фирмата за чипове, а след това последва мащабен пробив във фирмата за разработка на софтуер Globant, в който бяха замесени редица нейни високопоставени клиенти.

През същата година групата проби T-Mobile, за да открадне изходен код, и извършва много публична атака срещу Uber, като убеждава служител да изпрати паролата си под претекст, че е член на ИТ екипа на фирмата.