Доставчикът на услуги за управление на идентичността и достъпа (IAM) Okta предупреди за рязък скок в „честотата и мащаба“ на атаките за попълване на удостоверения, насочени към онлайн услуги.
Тези безпрецедентни атаки, наблюдавани през последния месец, са улеснени от „широката достъпност на прокси услуги за домашни потребители, списъци с откраднати преди това пълномощия (“списъци с комбинации„) и инструменти за писане на скриптове“, се казва в предупреждение на компанията, публикувано в събота.
Констатациите се основават на неотдавнашна консултация на Cisco, която предупреждава за глобален скок на атаките с груба сила, насочени към различни устройства, включително услуги на виртуални частни мрежи (VPN), интерфейси за удостоверяване на уеб приложения и SSH услуги, поне от 18 март 2024 г. насам.
„Всички тези атаки изглежда произхождат от изходни възли на TOR и редица други анонимизиращи тунели и проксита“, отбеляза тогава Talos, като добави, че целите на атаките включват VPN устройства от Cisco, Check Point, Fortinet, SonicWall, както и маршрутизатори от Draytek, MikroTik и Ubiquiti.
Okta съобщи, че нейното изследване на заплахите за идентичността е открило активизиране на дейността по попълване на удостоверения срещу потребителски акаунти от 19 април до 26 април 2024 г. от вероятно подобна инфраструктура.
Credential stuffing е вид кибератака, при която идентификационните данни, получени от нарушение на данните в една услуга, се използват за опит за влизане в друга несвързана услуга.
Алтернативно, такива пълномощия могат да бъдат извлечени чрез фишинг атаки, които пренасочват жертвите към страници за събиране на пълномощия, или чрез кампании със зловреден софтуер, които инсталират устройства за кражба на информация в компрометирани системи.
„Всички неотдавнашни атаки, които наблюдавахме, имат една обща черта: те разчитат на това, че заявките се насочват през анонимизиращи услуги като TOR“, заяви Okta.
„Милиони от заявките също така са били насочвани през различни домашни проксита, включително NSOCKS, Luminati и DataImpulse.“
Жилищните проксита (RESIPs) се отнасят до мрежи от легитимни потребителски устройства, които се използват неправомерно за маршрутизиране на трафика от името на плащащи абонати без тяхното знание или съгласие, като по този начин позволяват на участниците в заплахите да прикриват своя злонамерен трафик.
Обикновено това се постига чрез инсталиране на прокси софтуерни инструменти на компютри, мобилни телефони или маршрутизатори, като те на практика се записват в ботнет, който след това се отдава под наем на клиенти на услугата, които желаят да анонимизират източника на своя трафик.
„Понякога дадено потребителско устройство се записва в прокси мрежа, защото потребителят съзнателно избира да изтегли „прокси софтуер“ в своето устройство в замяна на плащане или нещо друго със стойност“, обяснява Okta.
„В други случаи потребителското устройство е заразено със злонамерен софтуер без знанието на потребителя и се включва в това, което обикновено бихме описали като ботнет.“
Миналия месец екипът Satori Threat Intelligence на HUMAN разкри над две дузини злонамерени VPN приложения за Android, които превръщат мобилните устройства в RESIP чрез вграден комплект за разработка на софтуер (SDK), включващ функционалността на проксито.
„Нетната равносметка от тази дейност е, че по-голямата част от трафика при тези credential stuffing атаки изглежда произхожда от мобилните устройства и браузърите на обикновените потребители, а не от IP пространството на доставчиците на VPS“, заявиха от Okta.
За да се намали рискът от превземане на акаунти, компанията препоръчва на организациите да наложат на потребителите да преминат към силни пароли, да активират двуфакторното удостоверяване (2FA), да отказват заявки, идващи от места, където не работят, и IP адреси с лоша репутация, и да добавят поддръжка на пасове.
