მზარდი საგარეო საქმეთა სამინისტროს გამოყენება ასტიმულირებს შეტევებს „გაატარეთ ქუქი“.

Sophos-ის მიერ დღეს გამოქვეყნებული დაზვერვის თანახმად, სესიის მოპარული ქუქიების გამოყენების აპრობირებული ტექნიკა მრავალფაქტორიანი ავთენტიფიკაციის (MFA) დაცვის გვერდის ავლით და საკვანძო სისტემებზე წვდომის მოსაპოვებლად, მასიურად გაიზარდა ბოლო თვეების განმავლობაში.

ასეთი თავდასხმები – ხშირად მოხსენიებული, როგორც ქუქი-ფაილების შეტევები – რა თქმა უნდა, ახალი არაფერია. მართლაც, ისინი უკვე დიდი ხანია არის დამკვიდრებული ინსტრუმენტი კიბერ კრიმინალის არსენალში, რადგან, საბოლოო ჯამში, ისინი საშუალებას აძლევს თავდამსხმელებს მიიღონ ლეგიტიმური მომხმარებლის პიროვნება და გააკეთონ ყველაფერი, რაც ლეგიტიმურ მომხმარებელს შეუძლია.

2022 წლის ივნისში, მაიკროსოფტმა ხელი შეუწყო ფართომასშტაბიანი ფიშინგის კამპანიას, რომელმაც მის 10 000 მომხმარებელს მიაღწია, ფიშინგის საიტების გამოყენებით პაროლების მოსაპარად, შესვლის სესიების გატაცებისა და MFA-ს უახლესი ფუნქციების გვერდის ავლით. და მანამდე იყო მრავალი გაფრთხილება, მათ შორის აშშ-ის კიბერ ორგანოს CISA-ს გაფრთხილება 2021 წლის დასაწყისში.

ისინი ასე მუშაობენ. სესიის ან ავთენტიფიკაციის ქუქი, რომელიც ინახება ვებ ბრაუზერში, როდესაც მომხმარებელი შედის ვებ რესურსზე, შეიძლება, მოპარვის შემთხვევაში, ინექცია მოხდეს ახალ ვებ სესიაში, რათა ბრაუზერმა მოატყუოს იფიქროს, რომ ავტორიზებული მომხმარებელი იმყოფება და არ არის. უნდა დაამტკიცონ თავიანთი ვინაობა. იმის გამო, რომ ასეთი ჟეტონი ასევე იქმნება და ინახება ვებ ბრაუზერში, როდესაც MFA თამაშშია, იგივე ტექნიკა შეიძლება გამოყენებულ იქნას მის გვერდის ავლით.

ამ პრობლემას ემატება ის ფაქტი, რომ ბევრ ვებ-აპლიკაციას აქვს გრძელვადიანი ქუქი-ფაილები, რომელთა ვადა იშვიათად იწურება, ან მხოლოდ იმ შემთხვევაში, თუ მომხმარებელი კონკრეტულად გამოდის სერვისიდან.

ახალ მოხსენებაში, ქუქიების მოპარვა: ახალი პერიმეტრის შემოვლითი გზაSophos-ის ახლადშექმნილმა X-Ops განყოფილებამ განაცხადა, რომ ეს თავდასხმები სულ უფრო გავრცელებული ხდება MFA ინსტრუმენტების მზარდი პოპულარობის წყალობით.

X-Ops-ის თქმით, საფრთხის შემქმნელისთვის წვდომა ქუქი-ფაილების შეტევებზე წვდომა უმნიშვნელოა – ხშირ შემთხვევაში, მათ მხოლოდ უნდა მიიღონ ინფორმაციის მოპარვის ასლი, როგორიცაა Raccoon Stealer, რათა შეაგროვონ რწმუნებათა სიგელები და ქუქი ფაილები ნაყარი და გაყიდეთ ისინი სხვებზე – თუნდაც გამოსასყიდ პროგრამულ ბანდებზე – ბნელ ქსელში.

„თავდამსხმელები მიმართავენ ინფორმაციის მოპარვის ახალ და გაუმჯობესებულ ვერსიებს, რათა გაამარტივონ ავთენტიფიკაციის ქუქიების მოპოვების პროცესი – ასევე ცნობილია როგორც წვდომის ტოკენები“, – თქვა შონ გალაჰერმა, საფრთხის მთავარმა მკვლევარმა Sophos-ში. „თუ თავდამსხმელებს აქვთ სესიის ქუქიები, მათ შეუძლიათ თავისუფლად იმოძრაონ ქსელში, ლეგიტიმური მომხმარებლების იმიტაციით.

ხშირ შემთხვევაში, X-Ops-ის თქმით, ქუქიების ქურდობა ხდება ბევრად უფრო მიზანმიმართული თავდასხმა, როდესაც მოწინააღმდეგეები აგროვებენ ქუქიების მონაცემებს ქსელიდან და იყენებენ ლეგიტიმურ შესრულებადებს თავიანთი აქტივობის დასამალად.

ერთ შემთხვევაში, რომელზეც Sophos-მა უპასუხა, თავდამსხმელმა გამოიყენა ექსპლოიტის ნაკრები წვდომის დასამყარებლად, შემდეგ კი Cobalt Strike და Meterpreter ინსტრუმენტების კომბინაცია ლეგიტიმური შემდგენლის ხელსაწყოს ბოროტად გამოყენებისა და წვდომის ტოკენების ბოროტად გამოყენების მიზნით. მათ თვეები გაატარეს მსხვერპლის ქსელში ქუქიების შეგროვებაში Microsoft Edge ბრაუზერიდან.

საბოლოო მიზანია მსხვერპლის ვებ-ზე დაფუძნებულ ან ღრუბელზე დაფუძნებულ რესურსებზე წვდომის მოპოვება, რომლებიც შემდეგ შეიძლება გამოყენებულ იქნას შემდგომი ექსპლუატაციისთვის, როგორიცაა ბიზნეს ელ. ან წყაროს კოდის საცავებში.

„მიუხედავად იმისა, რომ ისტორიულად ჩვენ ვნახეთ ნამცხვრების ქურდობა, თავდამსხმელები ახლა მიზანმიმართულ და ზუსტ მიდგომას იღებენ ქუქიების მოპარვის მიმართ“, – თქვა გალაჰერმა. „იმის გამო, რომ სამუშაო ადგილის დიდი ნაწილი გახდა ინტერნეტზე დაფუძნებული, ნამდვილად არ არის დასასრული იმ მავნე აქტივობების ტიპებს, რომლებიც თავდამსხმელებს შეუძლიათ განახორციელონ მოპარული სესიის ქუქი-ფაილებით.

„მათ შეუძლიათ დაარღვიონ ღრუბლოვანი ინფრასტრუქტურა, დათრგუნონ ბიზნეს ელფოსტა, დაარწმუნონ სხვა თანამშრომლები, ჩამოტვირთონ მავნე პროგრამა ან თუნდაც გადაწერონ პროდუქტების კოდი. ერთადერთი შეზღუდვა მათი კრეატიულობაა“.

გალაჰერმა დასძინა: ”საქმის გართულება ის არის, რომ ადვილი გამოსასწორებელი არ არის. მაგალითად, სერვისებს შეუძლიათ შეამცირონ ქუქიების სიცოცხლე, მაგრამ ეს ნიშნავს, რომ მომხმარებლებმა უფრო ხშირად უნდა გაიარონ ავტორიზაცია და, რადგან თავდამსხმელები მიმართავენ ლეგიტიმურ აპლიკაციებს ქუქიების ამოღების მიზნით, კომპანიებმა უნდა გააერთიანონ მავნე პროგრამის გამოვლენა ქცევის ანალიზთან.