Usando credenciais roubadas de um funcionário da ONU, um grupo cibercriminoso obteve acesso a partes da rede da organização e extraiu dados confidenciais críticos, admitiu um porta-voz das Nações Unidas.
Os dados extraídos da rede podem ser usados para atacar agências dentro da ONU, que já sofreu e respondeu a novos ataques ligados à violação, disse Stéphane Dujarric, porta-voz do Secretário-Geral da ONU, à Bloomberg.
“Invasores desconhecidos conseguiram violar partes da infraestrutura das Nações Unidas em abril”, disse Dujarric. “As Nações Unidas são frequentemente alvo de ataques cibernéticos, incluindo campanhas contínuas.”
Em outro ataque avançado em janeiro de 2020, os criadores do malware Emotet visaram a ONU com uma campanha de phishing combinada, com a intenção de roubar credenciais e instalar o trojan TrickBot. Descobriu-se depois que o ataque era o resultado de uma falha do Microsoft SharePoint, e permitiu o roubo de 400GB de dados confidenciais.
Violação devido à falta de 2FA
As credenciais roubadas no centro do último ataque pertenciam a uma conta no Umoja, software de gerenciamento de projeto proprietário da ONU.
O usuário da conta aparentemente não habilitou a autenticação de dois fatores (2FA), permitindo aos invasores usar credenciais para acessar o software e se aprofundar na rede a partir, disse a empresa de segurança Resecurity, que descobriu o ataque, à ONU.
Esse hack revela por que simplesmente usar uma combinação nome de usuário / senha para proteger o login em uma organização importante como a ONU é uma péssima ideia. “É um bom exemplo de que senhas como credenciais são ruins”, disse Baber Amin, COO da empresa de segurança Veridium, para nosso blog Threatpost.
Embora não esteja claro se os invasores obtiveram credenciais específicas da ONU ou se o usuário estava reutilizando credenciais de outra conta, eliminar o uso de senhas de tantos sistemas quanto possível pode ser uma maneira de resolver o problema, disse. “Se isso não for possível, a autenticação multifator deve ser implementada para todos os acessos”, disse Amin. “O MFA tornou-se fácil de implementar nos últimos anos e deve ser o padrão.”
Meses de Movimento Lateral
Os invasores estiveram na rede da ONU por pelo menos quatro meses, com o acesso à rede original em 5 de abril e a atividade do intruso ainda detectada em 7 de agosto, disseram os pesquisadores.
Esse movimento lateral na rede também poderia ter sido evitado pela simples prática de segurança de estabelecer uma hierarquia de privilégios dentro de aplicativos em uma rede, dando aos usuários acesso apenas aos ativos de que precisam para fazer seu trabalho e nada mais, afirmou Amin. “Isso significa que cada pessoa tem o nível mínimo de confiança concedido para a tarefa em mãos”, disse ele.
Enquanto funcionários da ONU disseram a Resecurity que os hackers só realizaram reconhecimento na rede na forma de capturas de tela, a empresa de segurança forneceu provas para a organização de que dados também foram roubados. A ONU suspendeu as comunicações com a Resecurity depois disso, informa a reportagem.