image

Mandiant: gekaapt X-account had tweefactorauthenticatie ingeschakeld

vrijdag 5 januari 2024, 14:55 door Redactie, 6 reacties

Eerder deze week werd het X-account van securitybedrijf Mandiant gekaapt en misbruikt voor een cryptoscam., waarbij gebruikers naar een malafide site werden gewezen. Hoe het account kon worden gekaapt wordt nog onderzocht, maar het securitybedrijf laat via X weten dat er wel tweefactorauthenticatie (2FA) werd gebruikt. Kort nadat het account was gekaapt wist Mandiant de controle weer terug te krijgen.

"Op dit moment zijn er geen aanwijzingen van malafide activiteiten, op het getroffen X-account na, dat weer onder onze controle is", zo meldt het bedrijf op X. Mandiant zegt de resultaten van het onderzoek naar de aanval openbaar te maken zodra het is afgerond. Mandiant werd in 2022 voor 5,4 miljard dollar door Google overgenomen.

Reacties (6)
05-01-2024, 17:44 door spatieman
was er niet iets met cookie hijacking of zo ?
06-01-2024, 06:03 door growisofs - Bijgewerkt: 06-01-2024, 06:13
Door spatieman: was er niet iets met cookie hijacking of zo ?

Eerst was het nog gissen naar hoe het Twitter account van Mandiant overgenomen was, maar met deze informatie kun je toch wel stellen dat naast het bemachtigen van het benodigde paswoord, ook de schermfoto van de 2FA OTP bemachtigd is geworden of gelekt is geworden door/naar de hacker(s)/aanvaller(s).

2FA OTP werkt als een tierelier, maar ik maak zelf ook altijd een screenshot van de eerste 'barcode' zodat ik FreeOTP op meerdere apparaten kan activeren, zodat ik niet buitengesloten wordt.

Kan haast niet anders, eigenlijk.

Fysiek toegang tot de computer waarbij deze gewiste data teruggehaald is?
06-01-2024, 13:45 door Anoniem
Door growisofs:
Door spatieman: was er niet iets met cookie hijacking of zo ?

Eerst was het nog gissen naar hoe het Twitter account van Mandiant overgenomen was, maar met deze informatie kun je toch wel stellen dat naast het bemachtigen van het benodigde paswoord, ook de schermfoto van de 2FA OTP bemachtigd is geworden of gelekt is geworden door/naar de hacker(s)/aanvaller(s).
Dat is een mogelijkheid, geen zekerheid, net zoals wat spatieman suggereerde een mogelijkheid is, en er zijn er nog wel meer te bedenken.

Je bent niet verplicht een keuze uit de mogelijkheden te maken en die als zekerheid te gaan beschouwen. Als je realistisch bent onderken je dat je op basis van eigenlijk maar heel summiere informatie die zekerheid simpelweg niet hebt en dat "ik weet niet hoe het gegaan" is het enige is wat je met zekerheid kan zeggen. Daar is niets mis mee, dat getuigt van realiteitszin.

Mogelijkheden verzinnen is wél onderdeel van het onderzoek naar wat er gebeurd is. Degenen die dat doen gaan kijken welke mogelijkheden wel en niet te verenigen zijn met de feiten die bekend zijn, om zich vervolgens af te vragen wat ze nog meer aan feiten boven water moeten halen om onderscheid te kunnen maken tussen de overgebleven mogelijkheden (en wat er onderweg nog meer wordt bedacht), en dan die informatie boven water te krijgen. Ook als je deelneemt aan zo'n proces moet je verdomd goed in de gaten hebben wat je wel en niet zeker weet. Als je aannames als zekerheden gaat beschouwen dan is de kans levensgroot dat je de plank misslaat en het onderliggende probleem onopgelost laat.
06-01-2024, 17:23 door growisofs
Door Anoniem:
Door growisofs:
Door spatieman: was er niet iets met cookie hijacking of zo ?

Eerst was het nog gissen naar hoe het Twitter account van Mandiant overgenomen was, maar met deze informatie kun je toch wel stellen dat naast het bemachtigen van het benodigde paswoord, ook de schermfoto van de 2FA OTP bemachtigd is geworden of gelekt is geworden door/naar de hacker(s)/aanvaller(s).
Dat is een mogelijkheid, geen zekerheid, net zoals wat spatieman suggereerde een mogelijkheid is, en er zijn er nog wel meer te bedenken.

Je bent niet verplicht een keuze uit de mogelijkheden te maken en die als zekerheid te gaan beschouwen. Als je realistisch bent onderken je dat je op basis van eigenlijk maar heel summiere informatie die zekerheid simpelweg niet hebt en dat "ik weet niet hoe het gegaan" is het enige is wat je met zekerheid kan zeggen. Daar is niets mis mee, dat getuigt van realiteitszin.

Mogelijkheden verzinnen is wél onderdeel van het onderzoek naar wat er gebeurd is. Degenen die dat doen gaan kijken welke mogelijkheden wel en niet te verenigen zijn met de feiten die bekend zijn, om zich vervolgens af te vragen wat ze nog meer aan feiten boven water moeten halen om onderscheid te kunnen maken tussen de overgebleven mogelijkheden (en wat er onderweg nog meer wordt bedacht), en dan die informatie boven water te krijgen. Ook als je deelneemt aan zo'n proces moet je verdomd goed in de gaten hebben wat je wel en niet zeker weet. Als je aannames als zekerheden gaat beschouwen dan is de kans levensgroot dat je de plank misslaat en het onderliggende probleem onopgelost laat.

Cookie hijacking op een SSL ssessioncookie in een wel heel onwerkelijk sceneria naar mijn inzien, tenminste.

Als ik hetzelfde zou willen bereiken zou ik het anders doen, zodat ik ook na vele langere periode hetzelfde doel kan halen.
(I'm not Dutch, apologies for my bad Dutch grammar)
08-01-2024, 15:14 door Anoniem
Door spatieman: was er niet iets met cookie hijacking of zo ?

Er was iets met vanalles.

Medewerker die het account beheerde ge-social-engineered om 2FA code te geven kan ook.

Medewerker die het account beheerde zat in het complot - kan ook.

device waarop de 2FA app draait gecompromitteerd .

'mfa fatigue' (met name bij de 'push-stijl' - eindeloos veel requests tot iemand een keer op 'ok' drukt ).

Extra /ander 2FA token gekoppeld - via hack/reset procedure kan ook.

Beetje zinloos om van alle mogelijke aanvalsvectoren te noemen en zonder enige onderbouwing te roepen "ik denk dat die het was" .
08-01-2024, 15:19 door Anoniem
Door growisofs:
Door Anoniem:
Door growisofs:
Door spatieman: was er niet iets met cookie hijacking of zo ?

[..]
Cookie hijacking op een SSL ssessioncookie in een wel heel onwerkelijk sceneria naar mijn inzien, tenminste.

Als ik hetzelfde zou willen bereiken zou ik het anders doen, zodat ik ook na vele langere periode hetzelfde doel kan halen.
(I'm not Dutch, apologies for my bad Dutch grammar)

Het is niet gezegd dat de aanvaller de keus had om de meest perfecte compromise te bereiken.

Het is één keer gelukt - en goed genoeg om een scam te promoten.

Je mag er niet op reken dat als je _zo_ zichtbaar kenmaar maakt dat je een account gehacked hebt (door met dat account op twitter een scam te promoten) welke backdoor/methode je ook gebruikt hebt werkend achterblijft .
Je mag er hoe dan ook wel op rekenen dat - na alle analyse - echt _alles_ in de buurt volledig gereset/herbouwd wordt .
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.