Bluekit - nova usluga za fišing koja zaobilazi višefaktorsku autentifikaciju
Napad-platforma Bluekit zaobilazi MFA i krade Microsoft kredencijale koristeći naprednu Browser-in-the-Middle tehniku.
Šta se desilo?
Otkrivena je sofisticirana platforma za fišing pod nazivom Bluekit koja je u punoj operativnoj spremi. Bezbednosna firma Netcraft je u jednoj nedelji detektovala oko 70 aktivnih domena preko kojih napadi funkcionišu. Bluekit koristi naprednu tehniku Browser-in-the-Middle (BitM) koja učitava legitimnu Microsoft login stranicu u napadu-kontrolisanom pregledniku i direktno je strujuje žrtvi. To omogućava napadačima da zaobiđu čak i višefaktorsku autentifikaciju (MFA) i ukrade Microsoft kredencijale u realnom vremenu.
Koga pogađa?
Bluekit je namenjen posebno Microsoft korisnicima - zaposlenim u kompanijama, vladama i drugim institucijama koje koriste Microsoft 365 i Azure servise. Nijedan korisnik sa Microsoft nalogom nije potpuno zaštićen ukoliko ne primenuje dodatne mere zaštite. Organizacije srednje i velike veličine su posebno u riziku jer su česte meta za koordinirane kampanje krađe kredencijala.
Kako se zaštititi?
- Koristite hardverske sigurnosne ključeve umesto SMS koda i autentifikatorskih aplikacija koje Bluekit može zaobići
- Primenite uslovljeni pristup (Conditional Access) sa kontrolama na osnovu ponašanja korisnika i rizika
- Redovno pratite aktivnost naloga za neobične logovanje iz nepoznatih mesta i uređaja
- Edukujte zaposlene o prepoznavanju fišing pokušaja - biće im važna sposobnost da detektuju duplirane sertifikate i neobične URL adrese
- Aktivirajte bezbednosne upozorenja za pristupe iz novih lokacija i uređaja
- Razmislite o zahtevanju za autentifikaciju bez lozinke (passwordless authentication) gde je to moguće
Tehnički detalji
Bluekit koristi rrweb biblioteku, open-source JavaScript projekt osmišljen za snimanje sesija, kako bi prikazao žrtvi pixel-perfect prikaz prave Microsoft login stranice. Napad se odvija u dve faze: (1) Proverom kvalifikacije žrtve - sistem vrši anti-analizu sa nasumičnim CSS filtrima, lažnom CAPTCHA proverom, obfusciranim JavaScript paketima većim od 1MB, detektovanjem browser-a i WebRTC IP detekcijom; (2) BitM dostavljanjem - legitimna stranica se učitava u napadačevom pregledniku i strujuje žrtvi preko WebSocket konekcije. Sve korisnike akcije (klikovi, tipkanje) napadač primenjuje na stvarnom Microsoft sajtu, što rezultira potpuno autentifikovanom sesijom koju preuzima. Značajno je što sesija ostaje u istom browser okruženju tokom celog procesa, čime se izbegavaju detektovani znakovi neslaganja fingerprinta.
Zašto je važno za region
Bluekit predstavlja ozbiljnu pretnju za sve organizacije u regionu koje koriste Microsoft servise za poslovne operacije. Tehnike napada koje koristi spadaju u najnapredniji tip fišing-platformi i gotovo je nemoguće ih zaustaviti samo sa MFA zaštitom. S obzirom da se u Srbiji, Crnoj Gori, BiH i drugim zemljama regiona sve više kompanija oslanja na cloud usluge i Microsoft 365, ova pretnja zahteva hitnu tehnološku i organizacionu spremu.
Preporuka Sajber Radara
Organizacije trebaju hitno da evaluiraju svoju fišing zaštitu i da prelaze sa tradicionalne MFA na hardverske sigurnosne ključeve. Monitoring web okruženja za WebSocket konekcije, atipične JavaScript bundles i obfusciran kod postaje esencijalan deo odbrane protiv Bluekita.