[보안이슈] 9월 19일에 발생했던 우버(Uber) 정보 유출 사고에 대해서

1. 

2022년 9월 19일, 미국의 승차 공유 서비스(카풀) 업체인 우버(Uber)에서 대형 정보 유출 사고가 발생했다.

침투에 직접적으로 사용된 크리덴셜들의 출처는 다크웹인 것으로 확인된다.

구매한 크리덴셜으로 *다중인증에 대한 피로도를 높이는 방법*을 사용했고, 피로도가 높아진 상태에서 공격자들이 우버 IT 부서라고 속이며 접근하니 속았다고 한다.

 

 

2. 

다중인증에 대한 피로도를 높이는 방법이란?

MFA 피로(MFA fatigue)라고 알려진 기법이다. 공격자가 가진 크리덴셜(유출된)을 이용하여 MFA 인증 요청을 계속해서 보내는 것. 해당 크리덴셜의 주인이 짜증 나서 인증 앱 통해 요청을 승인할 때까지 스팸처럼.. 요청하는 것이다.

 

우버의 경우,

1) 한 직원에게 인증을 요청하는 푸시 알림을 1시간 넘게 반복적으로 보낸다.

2) WhatsApp으로 우버의 IT 부서라고 연락

3) 팝업창을 멈추고 싶다면 MFA 인증 요청을 수락해야 한다고 말함

4) 직원: 오키 / 공격자: 접근성공

 

해당 직원의 기기가 멀웨어에 감염된 후 우버 크리덴셜을 도난당한 것. 이 크리덴셜은 다크웹에서 판매되었고.. MFA 피로 공격이 이루어져 우버 보안 사고가 발생했다.

 

 

3.

MFA 피로 기법을 통해 휴먼팩터를 악용

- 사회 공학과 유사한 부분이 존재한다. 사용자의 공격 벡터 교육 및 이해 부족을 기반으로 한다는 것.

- 많은 MFA 사용자가 이런 유형에 공격에 익숙하지 않음. 알림 과부하에 대한 위협을 감지하지 못하는 것.

- 또한 MFA 정책의 부족 문제도 존재.

>> 새 MFA 기기 등록 시에도 경고 발생 X

>>기기 IP 변경 시 알림 발생 X

 

 

4.

MFA 피로 공격의 완화 방법

- 해당 공격에 대해 인지할 수 있도록 직원들을 교육

- MFA 남용 가능성을 낮추기 위한 기술적 통제 장치 마련 (사용 가능한 MFA 방법을 제한하는 등)

- 일정 시간 내 MFA 요청 횟수 제한, 속도 제한

- 인증된 사용자의 위치 변화 감지

 

만약 MFA 피로 공격을 당하고 있다면

1) 푸시 비활성화

2) FIN 또는 Yubico 사용

- Yubico사의 Yubikey: FIDO 2 인증 프로토콜 사용하여 인증 요청 검증하는 하드웨어 보안 키

3) MS의 'Number-Matching' MFA 정책 활성화

 

 

참고 기사 링크 1 (보안뉴스)

참고 기사 링크 2 (CIO Korea)

 

 

[ 개인 의견 ]

갑자기 한 달 전 이슈를 가져온 이유가 무엇이냐..

트위터에서 우버 공격 시나리오를 보았기 때문이다. (링크)

총 공격 시나리오

1. Uber의 기업 네트워크(인트라넷)에 접속 가능하도록 VPN 접속을 허가한 우버 직원을 타겟으로 한 사회공학 캠페인

2. 공격자는 네트워크에 들어가자마자 우버의 PAM 솔루션인 Thycotic의 도메인 관리자 계정에 대한 하드코딩된 크리덴셜을 포함하는 PowerShell 스크립트를 발견함.

3. 관리자 액세스를 사용하여 로그인, Uber에서 사용되는 여러 서비스와 내부 도구를 take over.

(AWS, GCP, Google Drive, Slack Workspace, SentinelOne, HackerOne admin console, Uber 내부 직원의 대시보드, 몇 가지 코드 저장소)

 

또한 해당 이미지의 원래 출처를 찾다가..  포럼 하나를 발견함.

https://itabcode.net/forums/58/

WebSite & Server Hacking Forum

공부하기 좋아 보여서 북마크 했다.