Một kỹ thuật tấn công mạng tinh vi mới đã xuất hiện, khai thác các tính năng đăng nhập chéo thiết bị của khóa FIDO, qua đó vô hiệu hóa một trong những hình thức xác thực đa yếu tố (MFA) an toàn nhất hiện nay. Các nhà nghiên cứu bảo mật đã xác định kiểu tấn công AiTM (Adversary-in-the-Middle) này, được quy cho nhóm đe dọa PoisonSeed, cho thấy cách kẻ tấn công có thể vượt qua các biện pháp bảo vệ xác thực dựa trên phần cứng thông qua các chiến thuật kỹ thuật xã hội.
Phân tích Kỹ thuật Tấn công AiTM và Khai thác FIDO Key
Cuộc tấn công bắt đầu bằng một chiến dịch phishing thông thường nhắm vào nhân viên doanh nghiệp thông qua các email lừa đảo. Nạn nhân được dẫn đến các trang đăng nhập giả mạo được tạo rất công phu, bắt chước gần như hoàn hảo các cổng xác thực hợp pháp, bao gồm cả nhận diện thương hiệu của tổ chức và các yếu tố giao diện người dùng quen thuộc.
Trong các trường hợp đã được ghi nhận, kẻ tấn công đã đăng ký các tên miền độc hại như okta[.]login-request[.]com, thường được tạo chỉ vài ngày trước khi cuộc tấn công diễn ra nhằm né tránh các hệ thống phát hiện. Các trang xác thực giả mạo này còn tận dụng các mạng phân phối nội dung (CDN) uy tín như Cloudflare để tăng cường tính hợp pháp và giảm nghi ngờ từ các nạn nhân tiềm năng. Việc sử dụng các dịch vụ hạ tầng đáng tin cậy là một chiến thuật phổ biến để vượt qua các bộ lọc bảo mật và tạo dựng độ tin cậy với người dùng không nghi ngờ.
Khai thác Xác thực Chéo Thiết bị (Cross-Device Authentication)
Sự phức tạp về mặt kỹ thuật của cuộc tấn công này nằm ở việc lạm dụng chức năng đăng nhập chéo thiết bị hợp pháp của khóa FIDO. Khi người dùng có tài khoản được bảo vệ bằng FIDO nhập thông tin đăng nhập của họ trên trang web phishing, hạ tầng độc hại sẽ tự động chuyển tiếp các thông tin đăng nhập bị đánh cắp này đến cổng xác thực chính hãng, đồng thời yêu cầu các khả năng đăng nhập chéo thiết bị.
Quá trình này kích hoạt hệ thống xác thực hợp pháp tạo ra một mã QR để xác minh thiết bị thay thế. Hạ tầng phishing sẽ thu giữ mã QR hợp lệ này và trình bày cho nạn nhân thông qua giao diện đăng nhập giả mạo. Khi người dùng quét mã QR bằng ứng dụng xác thực MFA di động của họ, họ vô tình hoàn tất quá trình xác thực cho kẻ tấn công, cấp quyền truy cập trái phép vào các tài khoản được bảo vệ. Điều này cho phép kẻ tấn công thiết lập một phiên xác thực hợp lệ trên hệ thống mục tiêu, hoàn toàn bỏ qua lớp bảo mật vật lý của khóa FIDO truyền thống. Kỹ thuật này đặc biệt nguy hiểm vì nó không yêu cầu kẻ tấn công phải chiếm đoạt khóa vật lý hay can thiệp vào quá trình xác thực trên thiết bị của nạn nhân một cách trực tiếp mà chỉ cần nạn nhân thực hiện hành động quét mã QR đã bị thao túng.
Nhóm Đe dọa PoisonSeed và Mục tiêu Cụ thể
PoisonSeed, nhóm đe dọa đứng sau các cuộc tấn công này, đã nổi tiếng với việc thực hiện các chiến dịch phishing quy mô lớn, chủ yếu tập trung vào việc đánh cắp tiền điện tử từ ví kỹ thuật số. Tuy nhiên, các kỹ thuật được thể hiện trong các cuộc tấn công bỏ qua khóa FIDO này cho thấy tiềm năng ứng dụng rộng rãi hơn trên nhiều lĩnh vực mục tiêu và mục tiêu tấn công khác nhau. Sự xuất hiện của các cuộc tấn công như vậy đại diện cho một sự leo thang đáng kể trong cuộc chạy đua vũ trang đang diễn ra giữa tội phạm mạng và các chuyên gia an ninh mạng, làm nổi bật cách ngay cả các công nghệ xác thực cao cấp cũng có thể bị vượt qua thông qua các phương pháp kỹ thuật xã hội sáng tạo.
Chỉ số Compromise (IOC)
* Tên miền độc hại:
* `okta[.]login-request[.]com`
Biện pháp Phòng ngừa và Giảm thiểu
Các đội ngũ an ninh có thể thực hiện một số biện pháp bảo vệ để giảm thiểu các cuộc tấn công này, mặc dù không có giải pháp nào là tuyệt đối nhưng sự kết hợp của chúng sẽ tăng cường đáng kể khả năng phòng thủ.
Kiểm soát Truy cập dựa trên Vị trí Địa lý
Triển khai các chính sách hạn chế địa lý đối với các nỗ lực đăng nhập. Điều này có nghĩa là chặn hoặc gắn cờ các yêu cầu xác thực đến từ các vị trí địa lý không mong muốn hoặc không có liên quan đến hoạt động kinh doanh của tổ chức. Bằng cách thiết lập các ranh giới địa lý cho quyền truy cập, tổ chức có thể làm giảm khả năng kẻ tấn công từ xa khai thác các phiên bị chiếm đoạt.
Xác minh Khoảng cách Bluetooth cho FIDO
Yêu cầu xác minh khoảng cách Bluetooth bắt buộc đối với xác thực chéo thiết bị FIDO. Một số triển khai FIDO hỗ trợ yêu cầu người dùng ở gần thiết bị đích (ví dụ: máy tính) khi thực hiện xác thực bằng khóa FIDO di động. Điều này giúp ngăn chặn kẻ tấn công thực hiện xác thực từ xa ngay cả khi họ đã có được mã QR. Tính năng này bổ sung một lớp bảo mật vật lý, đảm bảo rằng người dùng và thiết bị FIDO của họ thực sự ở gần nhau.
Giám sát Nhật ký Kiểm toán Toàn diện
Thực hiện ghi nhật ký kiểm toán toàn diện và giám sát chặt chẽ các sự kiện liên quan đến đăng ký khóa FIDO và yêu cầu đăng nhập. Các bản ghi này cần bao gồm các chi tiết như thời gian đăng ký, thiết bị được sử dụng, địa chỉ IP nguồn và mọi hoạt động đăng nhập chéo thiết bị. Việc phân tích nhật ký này có thể giúp phát hiện các mẫu đáng ngờ, chẳng hạn như:
* Nhiều lượt đăng ký khóa mới trong một khoảng thời gian ngắn.
* Các yêu cầu đăng nhập chéo thiết bị từ các vị trí không mong muốn hoặc chưa từng thấy trước đây.
* Các nỗ lực đăng nhập thất bại liên tiếp hoặc các hoạt động bất thường khác liên quan đến FIDO.
Sử dụng các hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) để tự động hóa việc phát hiện các mẫu này và tạo cảnh báo kịp thời.
Nâng cao Nhận thức Người dùng
Trong khi khóa FIDO vẫn là một trong những phương pháp xác thực an toàn nhất hiện có, cuộc tấn công này nhấn mạnh tầm quan trọng của việc giáo dục người dùng và các chương trình đào tạo nâng cao nhận thức bảo mật toàn diện. Người dùng cần được huấn luyện để:
* Luôn kiểm tra kỹ URL của các trang đăng nhập và cảnh giác với các tên miền lạ, dù chúng có vẻ hợp pháp đến đâu.
* Hiểu rằng các yêu cầu quét mã QR cho FIDO cross-device thường diễn ra trong ngữ cảnh cụ thể và không nên được thực hiện một cách ngẫu nhiên.
* Báo cáo bất kỳ email đáng ngờ nào hoặc các trang đăng nhập có hành vi không bình thường.
* Tránh nhấp vào các liên kết trong email và thay vào đó truy cập trực tiếp các trang web bằng cách nhập URL vào trình duyệt.
* Nhận thức được rằng ngay cả khi có khóa phần cứng, kỹ thuật xã hội vẫn là một vector tấn công hiệu quả.
Việc giáo dục người dùng cần được thực hiện liên tục và cập nhật theo các kỹ thuật tấn công mới nhất để duy trì một phòng tuyến an ninh mạng vững chắc.
