Хакеры обошли 2FA через Shadow RDP и захватили облачную инфраструктуру

Стандартная защита облачных сред оказалась уязвимой. Хакеры, не взламывая и не обходя многофакторную аутентификацию (2FA/MFA), получили полный контроль над административными учетными записями в Azure, AWS, Google Cloud или Yandex.Cloud. Вместо атаки на сам фактор они использовали технику под названием Shadow RDP, которая позволила им легально войти в облако под уже активной сессией авторизованного администратора. Это превращает считавшийся непреодолимым барьер в иллюзию безопасности.

Атака эксплуатирует архитектурную слабость гибридных инфраструктур, где критичные облачные сервисы связаны с локальной Active Directory (on-prem AD) как точкой доверия. Злоумышленникам не потребовалось перехватывать одноразовые коды или токены. Их метод заключался в обнаружении и использовании существующей легитимной сессии, что сделало все журналы доступа чистыми с точки зрения стандартного мониторинга. Это классический пример атаки, нацеленной не на укрепленные внешние ворота, а на уязвимости внутри периметра доверия.

Данный кейс из практики расследований сигнализирует о фундаментальном риске для тысяч компаний, полагающихся на гибридную модель. Инцидент ставит под сомнение эффективность стандартного развертывания MFA как единственной меры защиты административного доступа. Техника Shadow RDP требует пересмотра моделей угроз, усиления мониторинга сессионной активности и, возможно, перестройки архитектуры доверия между локальными и облачными компонентами. Угроза направлена на саму основу управления критичной ИТ-инфраструктурой.