Otkrivena serija napada na kredencijale za Office365

Istraživači iz Skyhigh Networks, kompanije specijalizovane za zaštitu cloud sistema otkrili su kampanju brute force napada na kredencijale za Office365.

Napadači su koristili tzv. „low and slow“ pristup kako bi izbjegli otkrivanje. Oni su izvršili 100 000 pokušaja prijavljivanja na Office365 servis u roku od sedam mjeseci. Ovaj napad je izveden sa 67 različitih IP adresa iz 12 mreža. Napadači su koristili iznajmljene SaaS (Software-as-a-Service) servise drugih kompanija da izvedu ovaj „cloud to cloud“ napad.

Napadači su prvo sakupljali informacije o zaposlenim u kompanijama koje koriste cloud servise. Nakon toga su pokušavali različite varijacije korisničkih imena, npr. ime.prezime[@]kompanija.com,  imeprezime[@]kompanija.com,  i.prezime[@]kompanija.com,  iprezime[@]kompanija.com.  

Jedan od naloga napadnut i preuzet u roku od 4 sekunde, koristeći 17 varijacija imena i 14 IP adresa.

Iako istraživači nisu mogli vidjeti sadržaj lozinke u otvorenom tekstu ista lozinka je korišćenja u svih 17 zahtjeva i to samo jednom. Pretpostavka je da su napadači kompromitovali korisnički nalog istog korisnika na drugom servisu i da se oslanjaju na činjenicu da mnogi korisnici koriste iste lozinke na različitim servisima.

Zabilježeno je 48 slučajeva uspješne krađe naloga. Krađa kredencijala bi bila onemogućena korišćenjem višefaktorske autentifikacije.

Izvor:www.tripwire.com