المتسللين الذين اخترقوا Twilio و Cloudflare في وقت سابق في أغسطس تسللوا أيضًا إلى أكثر من 130 منظمة أخرى في نفس الحملة ، مما أدى إلى تفريغ ما يقرب من 10,000 مجموعة من بيانات اعتماد Okta والمصادقة الثنائية (2FA).
هذا وفقًا لتحقيق أجرته Group-IB ، والذي وجد أن العديد من المنظمات المعروفة كانت من بين تلك المنظمات المستهدفة في حملة تصيد احتيالية ضخمة تسميها 0ktapus. كانت الإغراءات بسيطة ، مثل الإشعارات المزيفة التي يحتاجها المستخدمون لإعادة تعيين كلمات المرور الخاصة بهم. تم إرسالها عبر نصوص تحتوي على روابط لمواقع التصيد الثابتة التي تعكس صفحة مصادقة Okta لكل مؤسسة محددة.
قال باحثون في بلوق وظيفة اليوم. "علاوة على ذلك ، بمجرد اختراق المهاجمين لمنظمة ما ، تمكنوا بسرعة من التمحور وإطلاق هجمات سلسلة التوريد اللاحقة ، مما يشير إلى أن الهجوم تم التخطيط له بعناية مسبقًا."
وكان هذا هو الحال مع خرق تويليو الذي حدث في 4 أغسطس ، تمكن المهاجمون من إجراء هندسة اجتماعية للعديد من الموظفين لتسليم بيانات اعتماد Okta الخاصة بهم المستخدمة لتسجيل الدخول الفردي عبر المؤسسة ، مما يسمح لهم بالوصول إلى الأنظمة والتطبيقات الداخلية وبيانات العملاء. أثر الاختراق على حوالي 25 منظمة في المصب التي تستخدم التحقق من هاتف Twilio وخدمات أخرى - بما في ذلك Signal ، التي أصدرت بيان مؤكدة أن حوالي 1,900 مستخدم يمكن أن تكون قد اختطفت أرقام هواتفهم في الحادث.
كانت غالبية الشركات الـ 130 المستهدفة عبارة عن SaaS وشركات برمجيات في الولايات المتحدة - وهذا أمر غير مفاجئ ، بالنظر إلى طبيعة سلسلة التوريد للهجوم.
على سبيل المثال ، من بين الضحايا الإضافيين في الحملة شركات التسويق عبر البريد الإلكتروني Klaviyo و Mailchimp. في كلتا الحالتين ، سلب المحتالون الأسماء والعناوين ورسائل البريد الإلكتروني وأرقام هواتف عملائهم المرتبطين بالعملات المشفرة ، بما في ذلك عميل Mailchimp DigitalOcean (والذي أصبح لاحقًا أسقط الموفر).
In حالة Cloudflare لوقع بعض الموظفين في الحيلة ، ولكن تم إحباط الهجوم بفضل مفاتيح الأمان المادية التي تم إصدارها لكل موظف والمطلوب للوصول إلى جميع التطبيقات الداخلية.
يلاحظ ليور ياري ، الرئيس التنفيذي والمؤسس المشارك لشركة Grip Security ، أن مدى وسبب الخرق خارج نتائج Group IB لا يزالان غير معروفين ، لذلك قد يظهر ضحايا إضافيون.
ويحذر من أن "تحديد جميع مستخدمي تطبيق SaaS ليس بالأمر السهل دائمًا بالنسبة لفريق الأمان ، لا سيما أولئك الذين يستخدم المستخدمون فيها تسجيلات الدخول وكلمات المرور الخاصة بهم". "اكتشاف Shadow SaaS ليس مشكلة بسيطة ، ولكن هناك حلول يمكن اكتشافها وإعادة تعيين كلمات مرور المستخدم لـ shadow SaaS."
حان الوقت لإعادة التفكير في IAM؟
بشكل عام ، يوضح نجاح الحملة مشكلة الاعتماد على البشر لاكتشاف الهندسة الاجتماعية ، والثغرات الموجودة في إدارة الهوية والوصول (IAM).
يقول ياري: "يوضح الهجوم مدى هشاشة IAM اليوم ولماذا يجب أن تفكر الصناعة في إزالة عبء تسجيلات الدخول وكلمات المرور من الموظفين المعرضين للهندسة الاجتماعية وهجمات التصيد الاحتيالي المتطورة". "إن أفضل جهود إصلاح استباقية يمكن أن تبذلها الشركات هي جعل المستخدمين يعيدون تعيين جميع كلمات المرور الخاصة بهم ، خاصة اوكتا".
تشير الحادثة أيضًا إلى أن المؤسسات تعتمد بشكل متزايد على وصول موظفيها إلى نقاط النهاية المتنقلة لتكون منتجة في القوى العاملة الموزعة الحديثة ، مما يخلق أرضية تصيد جديدة غنية للمهاجمين مثل ممثلي 0ktapus ، وفقًا لريتشارد ميليك ، مدير الإبلاغ عن التهديدات في زيمبيريوم.
وكتب في بيان عبر البريد الإلكتروني: "من التصيد إلى تهديدات الشبكة والتطبيقات الضارة إلى الأجهزة المخترقة ، من الأهمية بمكان أن تعترف المؤسسات بأن سطح هجوم الهاتف المحمول هو أكبر متجه غير محمي لبياناتها والوصول إليها".
