Lapsus$: Hackergruppe umgeht 2FA mit einfachem Trick

Die Ransomwaregruppe Lapsus$ hat einen bekannten Trick genutzt, um die Zwei-Faktor-Authentifizierung bei Microsoft und anderen Unternehmen zu umgehen.

Artikel veröffentlicht am ,
Auch Zwei-Faktor-Authentifizierung lässt sich häufig umgehen.
Auch Zwei-Faktor-Authentifizierung lässt sich häufig umgehen. (Bild: albarus/Pixabay)

Zwei-Faktor-Authentifizierung (2FA) soll den Anmeldevorgang mit Benutzername und Passwort zusätzlich absichern. Doch nicht alle Systeme sind gleich sicher, wie die Angriffe der Ransomwaregruppe Lapsus$, aber auch anderer Angreifer erneut aufzeigen. Denn viele 2FA- oder MFA-Systeme (Multi-Faktor-Authentifizierung) haben ihre Tücken.

Stellenmarkt
  1. Process Specialist (m/w/d) Controlling
    MAPAL Präzisionswerkzeuge Dr. Kress KG, Aalen
  2. Requirements Engineer (w/m/d) Softwareentwicklung
    SSI SCHÄFER IT Solutions GmbH, Giebelstadt, Dortmund
Detailsuche

"Viele 2FA-Anbieter ermöglichen es den Benutzern, eine Push-Benachrichtigung einer Smartphone-App zu akzeptieren oder einen Anruf zu erhalten und eine Taste als zweiten Faktor zu drücken", schreiben Forscher der Sicherheitsfirma Mandiant. "Der Bedrohungsakteur [Nobelium] nutzte dies aus und stellte mehrere MFA-Anfragen an das legitime Gerät des Endbenutzers, bis der Benutzer die Authentifizierung akzeptierte, was dem Bedrohungsakteur schließlich den Zugriff auf das Konto ermöglichte."

Auch Lapsus$ setzte laut dem Onlinemagazin Ars Technica auf den Angriff, um in die Netzwerke von Microsoft einzudringen. "Es gibt kein Limit für die Anzahl der Anrufe, die getätigt werden können", schrieb ein Mitglied in der Lapsus$-Telegram-Gruppe. "Rufe den Angestellten 100-mal um 1 Uhr nachts an, während er versucht zu schlafen, und er wird ihn höchstwahrscheinlich irgendwann annehmen. Sobald der Mitarbeiter einen Anruf annimmt [und die #-Taste drückt], kann auf das MFA-Registrierungsportal zugegriffen und ein weiteres Gerät registriert werden."

Mit MFA-Bombing ins Netzwerk von Microsoft

Das MFA-Bombing sei auch bei Microsoft erfolgreich gewesen, schreibt das Lapsus$-Mitglied. "Ich konnte mich von Deutschland und den USA aus gleichzeitig in das Microsoft-VPN eines Mitarbeiters einloggen, offenbar ohne dass es bemerkt wurde. Außerdem konnte ich die MFA zweimal neu registrieren."

Golem Akademie
  1. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    08.-10.06.2022, Virtuell
  2. Blender Grundkurs: virtueller Drei-Tage-Workshop
    07.-09.06.2022, Virtuell
Weitere IT-Trainings

2FA-Systeme, die auf per SMS oder E-Mail zugeschickte oder per App generierte Codes (TOTP) setzen, sind anfällig für Phishing-Angriffe. Tools wie Modlishka können in kurzer Zeit Phishing-Webseiten erstellen, indem sie die Login-Seiten unter einer anderen Domain spiegeln - beispielsweise die von Google.com. Die eingegebenen Zugangsdaten sowie etwaige 2FA-Codes werden ebenfalls mitgeschnitten - und live für einen Login auf der entsprechenden Webseite benutzt.

Doch mit Fido beziehungsweise Webauthn gibt es eine sicherere und phishingresistente Alternative, die auf Public-Key-Kryptographie setzt. Die Technik ermöglicht dabei sogar ein passwortloses Anmelden per Knopfdruck.

Das ist beispielsweise mit sogenannten Fido-Sticks oder Android-Smartphones möglich. Allerdings muss der entsprechende Dienst Fido/Webauthn unterstützen.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Hacks bei Microsoft, Samsung, Okta und Nvidia

Microsoft bestätigte erst kürzlich den Angriff von Lapsus$, bei dem unter anderem ein Großteil des Quellcodes der Suchmaschine Bing sowie Bing Maps und Cortana veröffentlicht wurde. Insgesamt wurden 37 GByte interne Daten von 250 Softwareprojekten veröffentlicht.

Mehrere mutmaßliche Mitglieder von Lapsus$ im Alter zwischen 16 und 21 Jahren wurden kürzlich von der Londoner Polizei festgenommen. Neben Microsoft sollen die Teens und Tweens auch Okta, Samsung und Nvidia angegriffen haben. Bei Samsung sollen die Kriminellen insgesamt 190 GByte an sicherheitsrelevanten Daten erbeutet haben, die sie anschließend über Torrents veröffentlichten.

Zuvor wurde bereits die IT-Infrastruktur des Chipherstellers Nvidia angegriffen. Auch hier wurden Daten entwendet. Allerdings reagierte Nvidia mit einer Gegenattacke und verschlüsselte die VM, mit der die Angreifer auf das interne Netzwerk des Chipherstellers zugegriffen hatten. Lapsus$ hatte jedoch nach eigenen Angaben bereits ein Backup der Daten angelegt. Die Ransomwaregruppe versuchte erfolglos, Nvidia mit den Daten zu erpressen, und veröffentlichte diese nach und nach.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


treysis 04. Apr 2022 / Themenstart

Einfach so wenig wie möglich 2FA. Leider wird man immer öfter genervt, dass man das doch...

treysis 04. Apr 2022 / Themenstart

Sehr sehr viele haben gar kein Festnetz mehr.

Argh 03. Apr 2022 / Themenstart

Und im Normalfall rufen sie auch ein paar mal kurz hintereinander an. Tada, bitte nicht...

devzero 01. Apr 2022 / Themenstart

ich kenne TOTP nur als das was man lokal nach dem sync des initialkeys generiert. mit...

Kommentieren



Aktuell auf der Startseite von Golem.de
Agile Softwareentwicklung
Einfach mal so drauflos programmiert?

Ohne Scrum wäre das nicht passiert, heißt es oft, wenn etwas schiefgeht. Dabei ist es umgekehrt: Ohne agiles Arbeiten geht es nicht mehr. Doch es gibt drei fundamentale Missverständnisse.
Von Frank Heckel

Agile Softwareentwicklung: Einfach mal so drauflos programmiert?
Artikel
  1. Telemetrie: Voyager 1 weiß wohl nicht, wo sie ist
    Telemetrie
    Voyager 1 weiß wohl nicht, wo sie ist

    Seit 1977 befindet sich die Raumsonde Voyager 1 auf ihrer Reise durchs All. Die neusten Daten scheinen einen falschen Standort anzuzeigen.

  2. Mandrake 2: Laser-Kommunikation im Weltall für moderne Kriegsführung
    Mandrake 2
    Laser-Kommunikation im Weltall für moderne Kriegsführung

    Zwei Satelliten waren beim militärischen Raumfahrt-Projekt Mandrake 2 mit Laserstrahlen verbunden. Die Kommunikation hielt 40 Minuten lang.

  3. Farasis: Bau einer Batteriezellfabrik in Bitterfeld geplatzt
    Farasis
    Bau einer Batteriezellfabrik in Bitterfeld geplatzt

    Der chinesische Konzern Farasis wollte im sachsen-anhaltischen Bitterfeld eine Batteriezellfabrik mit 2.000 Arbeitsplätzen errichten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Xbox Series X bestellbar • Samsung schenkt 19% MwSt. • MindStar (u. a. AMD Ryzen 9 5950X 488€) • Cyber Week: Jetzt alle Deals freigeschaltet • LG OLED TV 77" 62% günstiger: 1.749€ • Bis zu 35% auf MSI • Alternate (u. a. AKRacing Core EX SE Gaming-Stuhl 169€) [Werbung]
    •  /