Η κυβέρνηση των ΗΠΑ πιέζει να διορθώσει τα ελαττώματα ασφαλείας που χρησιμοποίησαν οι χάκερ του Lapsus$ για τη διαρροή του GTA 6
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) ζητά αυστηρότερες προστασίες ανταλλαγής SIM και τη μετάβαση σε ένα μέλλον χωρίς κωδικό πρόσβασης μετά τις περσινές επιθέσεις στο Lapsus$. Σε
εκτενής έκθεση που δόθηκε στη δημοσιότητα την Πέμπτη
το πρακτορείο περιγράφει λεπτομερώς τις βασικές τεχνικές της ομάδας
hacking
εφήβων και
παρέχει συστάσεις
για την αποτροπή παρόμοιων επιθέσεων στο μέλλον.
Η CISA ζητά επίσης από την Ομοσπονδιακή Επιτροπή Εμπορίου και την Ομοσπονδιακή Επιτροπή Επικοινωνιών να κάνουν περισσότερα για την προστασία των καταναλωτών από επιθέσεις ανταλλαγής SIM. Τον περασμένο μήνα, η FCC πρότεινε ένα νέο σύνολο κανόνων που θα απαιτούσε από τους παρόχους ασύρματων δικτύων να «υιοθετούν ασφαλείς μεθόδους ελέγχου ταυτότητας ενός πελάτη» όταν εκτελούν εναλλαγές SIM.
«Το Lapsus$ ήταν μοναδικό για την αποτελεσματικότητα, την ταχύτητα, τη δημιουργικότητα και την τόλμη του. λειτούργησε με τρόπο που χάρισε στο Διοικητικό Συμβούλιο έναν ευνοϊκό φακό μέσω του οποίου μπορούσαμε να δούμε συστημικά ζητήματα στο ψηφιακό οικοσύστημα», γράφει η CISA. “Το Lapsus$ εκμεταλλεύτηκε, με μεγάλη και ευρεία επίδραση, ένα playbook αποτελεσματικών τεχνικών, τις οποίες μπορούν επίσης να χρησιμοποιήσουν άλλοι παράγοντες απειλών.”
Παρά το μέγεθος των επιθέσεων στο Lapsus$, η CISA λέει ότι η ομάδα ξεκαθαρίζει «πόσο εύκολο ήταν για τα μέλη της (ανήλικοι, σε ορισμένες περιπτώσεις) να διεισδύσουν σε καλά προστατευμένες οργανώσεις». Μία από τις μεθόδους που χρησιμοποιεί το Lapsus$ είναι η εναλλαγή SIM, ή η πράξη απόκτησης του ελέγχου του αριθμού τηλεφώνου ενός στόχου μέσω κοινωνικής μηχανικής και άλλων μεθόδων. Αυτό επιτρέπει στον κακό ηθοποιό να λαμβάνει κλήσεις ή μηνύματα από αυτόν τον αριθμό, συμπεριλαμβανομένων μηνυμάτων που περιέχουν κωδικούς ελέγχου ταυτότητας δύο παραγόντων που συνδέονται με ευαίσθητους λογαριασμούς του θύματος.
Εξαιτίας αυτού, η CISA συνιστά τώρα στις εταιρείες να απομακρυνθούν από τον έλεγχο ταυτότητας πολλαπλών παραγόντων που βασίζεται σε φωνή και SMS, υπέρ των λύσεων χωρίς κωδικό πρόσβασης. Προτείνει ότι οι οργανισμοί χρησιμοποιούν κωδικούς πρόσβασης συμβατούς με το πρότυπο FIDO2, το οποίο επιτρέπει στους χρήστες να συνδέονται στους λογαριασμούς τους χρησιμοποιώντας το δακτυλικό τους αποτύπωμα ή ένα κλειδί ασφαλείας που βασίζεται σε υλικό. Πολλές εταιρείες και διαχειριστές κωδικών πρόσβασης έχουν ήδη αρχίσει να υποστηρίζουν μεθόδους σύνδεσης χωρίς κωδικό πρόσβασης, συμπεριλαμβανομένων των
Google
, 1Password,
Microsoft
και Dashlane.
«Το Lapsus$ εκμεταλλεύτηκε, με μεγάλη και ευρεία επίδραση, ένα βιβλίο αποτελεσματικών τεχνικών»
Επιπλέον, η CISA καλεί συγκεκριμένα τις εταιρείες κινητής τηλεφωνίας να «εφαρμόσουν πιο αυστηρές μεθόδους ελέγχου ταυτότητας για την ανταλλαγή SIM». Αυτό περιλαμβάνει τη δυνατότητα στους πελάτες να κλειδώνουν τους λογαριασμούς τους για να αποτρέψουν την ανταλλαγή SIM και την απαίτηση “ισχυρής επαλήθευσης ταυτότητας” για τις ανταλλαγές SIM, καθώς και την παροχή στους κατόχους λογαριασμού “λεπτομερούς καταγραφής” για το πότε πραγματοποιείται μια ανταλλαγή SIM.
Δεδομένου ότι η πλειονότητα των γνωστών χάκερ Lapsus$ είναι έφηβοι, η CISA προτείνει επίσης να χρηματοδοτήσει το Κογκρέσο «προγράμματα πρόληψης του εγκλήματος στον κυβερνοχώρο ανηλίκων» καθώς και «την προώθηση προγραμμάτων διακοπής και ανακατεύθυνσης» για να αποτρέψει τη συμμετοχή των νέων στο έγκλημα στον κυβερνοχώρο στο μέλλον.
