互聯(lián)網(wǎng)時代,黑客攻擊早已不是難得一見的新聞,可最近幾日,仍有一起黑客攻擊事件成功引發(fā)安全圈熱議:微軟遭黑客組織 Lapsus$ 入侵。
3 月 21 日晚,Lapsus$ 公開了從微軟 Azure DevOps 服務器盜取的 37GB 源代碼,這些被盜的源代碼,用于微軟的各種內(nèi)部 Microsoft 項目,包括 Bing 搜索、Cortana 語音助手和 Bing 地圖等。
遭泄漏的源代碼項目
第二天,微軟發(fā)布公告確認,確實有一名員工賬戶遭到 Lapsus$ 黑客組織入侵,并且獲取了對源代碼存儲庫的有限訪問權(quán)限。
通常情況下,一聽到某家公司被黑客入侵,不少人下意識認為,肯定是這家公司的安全防范措施不到位。盡管這種推論確實存在,卻并不適用于理解這次入侵,因為微軟在安全防控方面,并非弱雞。
微軟堪稱安全行業(yè)的巨無霸,安全、合規(guī)、身份與管理部門的員工有萬人之多,占員工總?cè)藬?shù)(約 20 萬人)的 5%。這些萬中選一的精英人才,專門為企業(yè)安全保駕護航,完全不是吃素的。
這樣看來,Lapsus$ 黑客組織同樣不是吃素的。
Lapsus$ 是個黑客組織新秀,2021 年 12 月因入侵巴西衛(wèi)生部首次引發(fā)關(guān)注,從此開始瘋狂席卷全球科技巨頭,英偉達、三星、沃達豐等都遭其黑手。
更氣人的是,這個組織的字典里沒有低調(diào)二字,他們專門設立了一個 Telegram 頻道,用來展示自己在入侵道路上的各種證明材料,此舉甚至吸引了一大批追隨者。
這次微軟遭到入侵,盡管公告中并未透露賬戶是如何被入侵的,但微軟還是提供了一個解題思路:枚舉了 Lapsus$ 常用的 4 種入侵手法。
1、部署惡意 Redline 密碼竊取程序,這是一種木馬程序,能夠獲取密碼和會話令牌;
2、從地下犯罪論壇購買密碼和會話令牌;
3、向目標組織的員工 (或供應商/商業(yè)伙伴) 支付費用,直接購買他們的密碼或二次認證口令;
4、在公共代碼庫中搜索公開的憑據(jù)。
以上四種方法中,1、3、4 都屬常規(guī)操作,唯獨 3,也就是直接向目標公司內(nèi)部員工付費購買密碼或二次認證口令,這波操作屬實夠騷,但也最有效。
3 月 10 日,Lapsus$ 在 Telegram 上發(fā)布了一則另類的招聘啟事,面向各大電信運營商、科技巨頭類公司雇員,求購 VPN、Citrix、Anydesk 等權(quán)限。當然,開出的報酬也非常誘人:周薪 2 萬美金,這意味著每月高達 8 萬美金,實屬高薪?jīng)]錯了。
明目張膽招聘內(nèi)鬼
不知有多少相關(guān)員工看了會心動?畢竟,在整個安全鏈條上,最大的漏洞就是人。
“購買密碼”這種操作屬于「社會工程學攻擊」的一種,指的是攻擊者對目標對象進行心理操縱,使其步步走入提前設好的陷阱,最終泄漏機密信息。
而且,Lapsus$ 在一系列入侵攻擊中,還利用了另外一種「社會工程學攻擊」手段:MFA 雙因子認證 (Multi-factor authentication)。
很長時間以來,MFA 被看作是防止賬戶被盜最有效的核心防御手段之一,更重要的是,它在現(xiàn)實中已經(jīng)被廣泛使用。
比如當你登陸某平臺時,在正確輸入用戶名和密碼外,MFA 還需要你配合出示另一種驗證因素,例如指紋、短信/語音驗證碼、數(shù)字口令等,只有順利完成二次驗證,才能訪問賬戶。
然而,Lapsus$ 這類黑客組織正在向外界證明,MFA 并非牢不可破。
由于很多 MFA 提供商允許用戶接受手機應用程序推送驗證通知、短信接收驗證碼、接聽語音驗證電話,或者簡單按下屏幕上出現(xiàn)的確認按鈕作為第二個因素,黑客組織利用這一點,向終端用戶的合法設備發(fā)出多次 MFA 請求,目的只有一個:誘導用戶接受 MFA 請求。
至于具體操作,包括三種:
1、向目標用戶發(fā)送一堆 MFA 請求,迫使用戶接受其中一個來終止更多騷擾。
2、每天發(fā)送一到兩個提示,盡管這種方法吸引的注意力較少,但“仍然有一個很好的機會,令目標用戶接受 MFA 請求。”
3、給目標用戶打電話,假裝是公司的一部分,告訴用戶需要發(fā)送 MFA 請求作為公司流程的一部分。
盡管如今已經(jīng)證明,MFA 也有漏洞可循,但整體來看,任何形式的 MFA 還是比不使用 MFA 要好得多。
此外,在微軟所披露的報告中,還有一個手法值得關(guān)注:SIM 卡交換攻擊。
簡單來說,就是冒充你給 SIM 卡運營商打電話,掛失并補辦一張新 SIM 卡。攻擊者拿到卡后,通過另一支手機開機,使用補辦的 SIM 卡接管你的手機號碼,接收你的短信驗證碼等信息,通過重置賬號密碼的方式,入侵你的多個賬戶。
就是這樣一個看起來毫無技術(shù)含量的手法,在 2018 年 1 月至 2020 年 12 月期間,F(xiàn)BI 互聯(lián)網(wǎng)犯罪投訴中心收到的報案數(shù)量達 320 起,涉及總金額高達 1200 萬美元。而 2021 年全年,報案數(shù)字更是上升到了 1611 起,涉案金額升至 6800 萬美元。
SIM 卡交換攻擊根本無需繞過手機復雜的安全機制,一旦攻擊成功,真實用戶的電話就會失去網(wǎng)絡連接,無法撥打或接聽電話,而攻擊者就可以為所欲為。
除 SIM 卡交換攻擊外,還有一種攻擊手段值得關(guān)注:SIM 卡克隆攻擊。
2015 年,全球最大的 SIM 卡芯片制造商 Gemalto 遭黑客入侵,SIM 卡的關(guān)鍵秘鑰 KI 疑似遭到竊取。
SIM 卡克隆,是一個非常專業(yè)的技術(shù)過程,但核心的參數(shù)只有兩個:IMSI,KI。
IMSI,全稱 International Mobile Subscriber Identification Number,國際移動用戶識別碼,長度不超過 15 位,相當于 SIM 卡的用戶名;
Ki (Key identifier),網(wǎng)絡驗證秘鑰,同時也是 SIM 克隆的關(guān)鍵。
Ki 一般存儲在兩類公司:電信運營商,SIM 卡制造商。這就是為什么 Lapsus$ 的招聘啟事中,特別提到電信運營商的原因。
攻擊者完成 SIM 卡克隆后,新舊兩張 SIM 卡都有效,但只允許最后接入網(wǎng)絡的這張新卡在網(wǎng),而舊卡不會收到任何短信驗證碼。
攻擊者利用手中的新卡接收驗證碼,進而重置密碼或直接進行業(yè)務操作,等用戶發(fā)覺時,損失已經(jīng)造成。
隨著技術(shù)進步,社會工程學攻擊手段也愈發(fā)精致,此次微軟被入侵絕不會是最后一例,只能說:道高一尺,魔高一丈;網(wǎng)絡安全,任重道遠。
參考資料:
1、
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/2、
https://mp.weixin.qq.com/s/6Nx3H48592fR2d2-YstVEw3、
https://www.wired.com/story/multifactor-authentication-prompt-bombing-on-the-rise/#intcid=_wired-verso-hp-trending_1a5b336d-2544-4d71-9978-7904ecee6869_popular4-1
文 | 木子Yanni
