Mandiant: gekaapt X-account had tweefactorauthenticatie ingeschakeld
Eerder deze week werd het X-account van securitybedrijf Mandiant gekaapt en misbruikt voor een cryptoscam., waarbij gebruikers naar een malafide site werden gewezen. Hoe het account kon worden gekaapt wordt nog onderzocht, maar het securitybedrijf laat via X weten dat er wel tweefactorauthenticatie (2FA) werd gebruikt. Kort nadat het account was gekaapt wist Mandiant de controle weer terug te krijgen.
"Op dit moment zijn er geen aanwijzingen van malafide activiteiten, op het getroffen X-account na, dat weer onder onze controle is", zo meldt het bedrijf op X. Mandiant zegt de resultaten van het onderzoek naar de aanval openbaar te maken zodra het is afgerond. Mandiant werd in 2022 voor 5,4 miljard dollar door Google overgenomen.
Eerst was het nog gissen naar hoe het Twitter account van Mandiant overgenomen was, maar met deze informatie kun je toch wel stellen dat naast het bemachtigen van het benodigde paswoord, ook de schermfoto van de 2FA OTP bemachtigd is geworden of gelekt is geworden door/naar de hacker(s)/aanvaller(s).
2FA OTP werkt als een tierelier, maar ik maak zelf ook altijd een screenshot van de eerste 'barcode' zodat ik FreeOTP op meerdere apparaten kan activeren, zodat ik niet buitengesloten wordt.
Kan haast niet anders, eigenlijk.
Fysiek toegang tot de computer waarbij deze gewiste data teruggehaald is?
Eerst was het nog gissen naar hoe het Twitter account van Mandiant overgenomen was, maar met deze informatie kun je toch wel stellen dat naast het bemachtigen van het benodigde paswoord, ook de schermfoto van de 2FA OTP bemachtigd is geworden of gelekt is geworden door/naar de hacker(s)/aanvaller(s).
Je bent niet verplicht een keuze uit de mogelijkheden te maken en die als zekerheid te gaan beschouwen. Als je realistisch bent onderken je dat je op basis van eigenlijk maar heel summiere informatie die zekerheid simpelweg niet hebt en dat "ik weet niet hoe het gegaan" is het enige is wat je met zekerheid kan zeggen. Daar is niets mis mee, dat getuigt van realiteitszin.
Mogelijkheden verzinnen is wél onderdeel van het onderzoek naar wat er gebeurd is. Degenen die dat doen gaan kijken welke mogelijkheden wel en niet te verenigen zijn met de feiten die bekend zijn, om zich vervolgens af te vragen wat ze nog meer aan feiten boven water moeten halen om onderscheid te kunnen maken tussen de overgebleven mogelijkheden (en wat er onderweg nog meer wordt bedacht), en dan die informatie boven water te krijgen. Ook als je deelneemt aan zo'n proces moet je verdomd goed in de gaten hebben wat je wel en niet zeker weet. Als je aannames als zekerheden gaat beschouwen dan is de kans levensgroot dat je de plank misslaat en het onderliggende probleem onopgelost laat.
Eerst was het nog gissen naar hoe het Twitter account van Mandiant overgenomen was, maar met deze informatie kun je toch wel stellen dat naast het bemachtigen van het benodigde paswoord, ook de schermfoto van de 2FA OTP bemachtigd is geworden of gelekt is geworden door/naar de hacker(s)/aanvaller(s).
Je bent niet verplicht een keuze uit de mogelijkheden te maken en die als zekerheid te gaan beschouwen. Als je realistisch bent onderken je dat je op basis van eigenlijk maar heel summiere informatie die zekerheid simpelweg niet hebt en dat "ik weet niet hoe het gegaan" is het enige is wat je met zekerheid kan zeggen. Daar is niets mis mee, dat getuigt van realiteitszin.
Mogelijkheden verzinnen is wél onderdeel van het onderzoek naar wat er gebeurd is. Degenen die dat doen gaan kijken welke mogelijkheden wel en niet te verenigen zijn met de feiten die bekend zijn, om zich vervolgens af te vragen wat ze nog meer aan feiten boven water moeten halen om onderscheid te kunnen maken tussen de overgebleven mogelijkheden (en wat er onderweg nog meer wordt bedacht), en dan die informatie boven water te krijgen. Ook als je deelneemt aan zo'n proces moet je verdomd goed in de gaten hebben wat je wel en niet zeker weet. Als je aannames als zekerheden gaat beschouwen dan is de kans levensgroot dat je de plank misslaat en het onderliggende probleem onopgelost laat.
Cookie hijacking op een SSL ssessioncookie in een wel heel onwerkelijk sceneria naar mijn inzien, tenminste.
Als ik hetzelfde zou willen bereiken zou ik het anders doen, zodat ik ook na vele langere periode hetzelfde doel kan halen.
(I'm not Dutch, apologies for my bad Dutch grammar)
Er was iets met vanalles.
Medewerker die het account beheerde ge-social-engineered om 2FA code te geven kan ook.
Medewerker die het account beheerde zat in het complot - kan ook.
device waarop de 2FA app draait gecompromitteerd .
'mfa fatigue' (met name bij de 'push-stijl' - eindeloos veel requests tot iemand een keer op 'ok' drukt ).
Extra /ander 2FA token gekoppeld - via hack/reset procedure kan ook.
Beetje zinloos om van alle mogelijke aanvalsvectoren te noemen en zonder enige onderbouwing te roepen "ik denk dat die het was" .
[..]
Cookie hijacking op een SSL ssessioncookie in een wel heel onwerkelijk sceneria naar mijn inzien, tenminste.
Als ik hetzelfde zou willen bereiken zou ik het anders doen, zodat ik ook na vele langere periode hetzelfde doel kan halen.
(I'm not Dutch, apologies for my bad Dutch grammar)
Het is niet gezegd dat de aanvaller de keus had om de meest perfecte compromise te bereiken.
Het is één keer gelukt - en goed genoeg om een scam te promoten.
Je mag er niet op reken dat als je _zo_ zichtbaar kenmaar maakt dat je een account gehacked hebt (door met dat account op twitter een scam te promoten) welke backdoor/methode je ook gebruikt hebt werkend achterblijft .
Je mag er hoe dan ook wel op rekenen dat - na alle analyse - echt _alles_ in de buurt volledig gereset/herbouwd wordt .
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
