Агенцията за киберсигурност и инфраструктурна сигурност (CISA) публикува доклад за хакерската група LAPSUS$, в който призовава публичните и частните организации да приемат удостоверяване без парола и архитектура на нулево доверие, за да ограничат бъдещи атаки.
В рамките на доклада агенциите, които допринасят за него, признават, че методологията на LAPSUS$ е често срещана и в миналото е разчитала по-скоро на пропуски в организационната сигурност, отколкото на нови вектори на атака.
Освен това те призоваха за по-добри стратегии за предотвратяване и реагиране на кибератаки, както и за по-тесен диалог по въпросите на сигурността между компаниите и доставчиците от трети страни.
През 2021 г. и 2022 г. хакери, идентифициращи се с групата LAPSUS$, извършиха редица кибератаки срещу организации, като се възползваха от слабости като прекомерното разчитане на двуфакторна автентикация, базирана на SMS.
Въз основа на констатациите CISA издаде серия от незабавни препоръки, включително предприятията да възприемат методи за удостоверяване без парола и да прилагат по-добра защита срещу социалния инженеринг и фишинга, които са предпочитани от LAPSUS$.
Участниците в заплахите от LAPSUS$ са показали, че умеят да използват социално инженерство, за да получат телефонните номера и паролите на жертвите. Методите включват претърсване на публична информация и измамни телефонни обаждания, които са подкрепени от фишинг.
На разработчиците на приложения беше изрично казано да въведат удостоверяване, съвместимо с FIDO 2, в потребителските телефони по подразбиране, което от своя страна ще даде възможност на предприятията лесно да преминат към удостоверяване без парола за целия персонал.
Докладът е изготвен от Съвета за преглед на киберсигурността (CSRB), който включва членове от Министерството на вътрешната сигурност, CISA, Министерството на отбраната, Федералното бюро за разследване и частни компании като Google и Palo Alto Networks.
Доставчиците на телекомуникационни услуги бяха посъветвани да въведат защити за предотвратяване на атаки, свързани с размяна на SIM карти, при които хакерът използва процеса, който потребителите използват за преместване на телефонния си номер на ново устройство, за да активира своя собствена SIM карта под номера на жертвата.
Имайки контрол над номера на жертвата, нападателите могат да използват двуфакторно удостоверяване чрез SMS, за да разширят достъпа си до чувствителни акаунти.
„Съветът проучи как една слабо организирана група хакери, някои от които тийнейджъри, постоянно успява да проникне в най-защитените компании в света“, заяви Робърт Силвърс, председател на CSRB и заместник-министър на DHS по въпросите на политиката.
„Открихме пропуски в начина, по който компаниите гарантират сигурността на своите доставчици; как операторите на мобилни телефони защитават клиентите си от подмяна на SIM карти; и как организациите удостоверяват потребителите в своите системи. Съветът представи конкретни препоръки за решаване на тези и други проблеми в съответствие с мандата на Съвета за провеждане на всеобхватни прегледи на най-значимите киберинциденти.“
CISA заяви, че операторите на мобилни мрежи трябва да възприемат подходи на нулево доверие към сигурността и да инвестират в методи, чрез които компрометираните устройства могат да бъдат изтрити от разстояние.
Федералната комисия по комуникациите (FCC) и Федералната комисия по търговията (FTC) също изрично поискаха от телекомуникационните оператори да бъдат по-прозрачни, когато става въпрос за статистиката за подмяна на SIM карти.
Фактът, че някои от хакерите от групата LAPSUS$ са били тийнейджъри, се повтаря в целия доклад и се използва, за да се подчертае неприемливата лекота, с която са извършени някои от атаките.
Беше предложено също така агенциите в САЩ да последват примера на някои международни правоприлагащи агенции и да въведат схеми за идентифициране на рискови непълнолетни и да подкрепят техните кибернетични хобита по положителен начин, например чрез турнири по игри.
Това беше определено като икономически ефективен начин за намаляване на атаките, както и за насочване на талантливи хора към роли в областта на киберсигурността, за да се преодолее недостигът на технически умения.
За да се подобри целият сектор, авторите също така насърчиха частните компании да споделят с правителството повече данни за кибератаки, а държавните структури да разширят сътрудничеството си с международните правоприлагащи органи за издирване на киберпрестъпници.
„Последният доклад на CSRB засилва необходимостта всички организации да предприемат спешни мерки за повишаване на киберустойчивостта си, включително въвеждане на устойчива на фишинг многофакторна автентикация“, заяви Джен Истърли, директор в CISA.
„Очаквам с нетърпение да работим с нашите федерални и индустриални партньори, за да предприемем действия по препоръките на CSRB, включително да продължим работата си с производителите на технологии за осигуряване на сигурност по проект, за да гарантираме, че необходимите функции за сигурност се предоставят на клиентите без допълнителни разходи.“
LAPSUS$, проследявана от Microsoft като Strawberry Tempest, е свързана с редица известни кибератаки и се нарежда сред най-активните и злонамерени групи от 2022 г.
През 2022 г. групата хакна Nvidia и изнесе вътрешни данни на фирмата за чипове, а след това последва мащабен пробив във фирмата за разработка на софтуер Globant, в който бяха замесени редица нейни високопоставени клиенти.
През същата година групата проби T-Mobile, за да открадне изходен код, и извършва много публична атака срещу Uber, като убеждава служител да изпрати паролата си под претекст, че е член на ИТ екипа на фирмата.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.