Cybercriminelen zijn continu bezig met het ontwikkelen van nieuwe aanvalsmethoden. Recent kwamen twee nieuwe ‘trucs’ van de beruchte hackersgroepering APT29 aan het licht. Hoe werken deze aanvalstechnieken? En wat kunnen organisaties doen om zich hiertegen te beschermen?
De hackersgroep APT29, ook wel bekend als Cozy Bear, wordt verantwoordelijk gehouden voor talloze cyberaanvallen in de afgelopen jaren. Securityonderzoekers van Mandiant volgen de activiteiten van APT29 op de voet. In een blogpost waarschuwen zij voor twee nieuwe aanvalstechnieken gericht op Microsoft 365. Volgens de onderzoekers worden beide technieken al in de praktijk toegepast om organisaties aan te vallen.
MFA van Microsoft omzeilen
Multi-factor authenticatie (MFA) is een cruciale maatregel om de toegang tot data en systemen te beveiligen. Met MFA kan een gebruiker niet inloggen met alleen een gebruikersnaam en wachtwoord, maar moet hij zijn identiteit ook op een andere manier aantonen. Bijvoorbeeld via een smartphone-app die een eenmalig wachtwoord genereert.
APT29 heeft een manier gevonden om nieuwe accounts over te nemen waarop MFA nog niet actief is. Securityexpert Jordi Scharloo van KPN Security legt uit hoe dat werkt. “Vaak moeten nieuwe werknemers bij de eerste inlogpoging hun apparaat registreren, bijvoorbeeld door een app te installeren of een mobiel telefoonnummer op te geven. De hackers proberen deze nieuwe accounts te vinden en het wachtwoord te raden, om vervolgens hun eigen apparaat aan het account te koppelen.”
Het is niet helemaal duidelijk hoe naar deze nieuwe accounts wordt gezocht. “Een mogelijkheid is dat de hacker op LinkedIn zoekt naar mensen die aankondigen dat ze aan een nieuwe baan beginnen. Op basis van de naam en achternaam zou je dan het zakelijke e-mailadres van die persoon kunnen achterhalen.”
Eerste doel: auditlogs uitschakelen
Microsoft 365 biedt verschillende functionaliteiten voor logging en auditing. Een daarvan is Purview Audit. Hiermee kan het securityteam onder meer zien wanneer gebruikers hun e-mails hebben geopend. “De onderzoekers hebben vastgesteld dat het steeds vaker het doel is om dit soort functies als eerste uit te schakelen”, licht Scharloo toe. “Op deze manier kan een aanvaller de logging en het forensisch onderzoek frustreren.”
“Om de audittool te deactiveren is wel een account nodig met de juiste rechten”, vervolgt de securityexpert. Volgens Scharloo is het dan ook onwaarschijnlijk dat de twee aanvalstechnieken in combinatie met elkaar worden toegepast. “Het zal niet vaak voorkomen dat een admin-account nog niet geconfigureerd is voor MFA.”
Hoewel er geen direct verband is tussen de twee technieken, ziet Scharloo wel een overeenkomst. “Het zijn beide slimme trucs om bestaande beveiligingsmaatregelen te omzeilen. In de constante wapenwedloop met cybercriminelen lopen securityprofessionals meestal achter de feiten aan. In dit geval is het eigenlijk andersom: de verdediging wordt beter en de aanvallers evolueren mee. En nu zijn de verdedigers weer aan zet.”
Wat kunnen organisaties doen?
Scharloo benadrukt dat MFA nog steeds een effectieve beveiligingsmaatregel is. “Daar doet de nieuwe aanvalstechniek niets aan af. Wel is het belangrijk om kritisch te kijken naar het MFA-proces. Je zou nieuwe accounts bijvoorbeeld direct aan een apparaat kunnen koppelen. Stel in ieder geval een uniek en complex standaardwachtwoord in en verzend dit op een veilige manier, bijvoorbeeld per brief. Zo wordt het moeilijker om het wachtwoord geautomatiseerd te raden.”
De andere aanvalstechniek kan met goede monitoring worden gedetecteerd. “Er is bijna geen legitieme reden te bedenken om zo’n auditfunctie uit te schakelen. Als dat wél gebeurt, zouden er gelijk overal alarmbellen en sirenes af moeten gaan. Het is een rechtstreekse indicator dat iemand in je systemen wil wroeten. Securityteams zijn veel tijd kwijt aan het onderzoeken van false positives. In dit geval weet je meteen dat je in actie moet komen.”
Scharloo adviseert elke organisatie om deze maatregelen te treffen. “Dit soort onderzoek is zeer waardevol omdat we inzicht krijgen in de geniepige methoden van professionele cybercriminelen. Maar de volgende stap moeten bedrijven zelf zetten. Een kleine aanpassing in je MFA-beleid of monitoring kan veel ellende voorkomen.”
