Twilio Hackers Scarf 10K Okta Credentials σε εκτεταμένη επίθεση αλυσίδας εφοδιασμού

Οι χάκερ που παραβίασαν το Twilio και το Cloudflare νωρίτερα τον Αύγουστο διείσδυσαν επίσης σε περισσότερους από 130 άλλους οργανισμούς στην ίδια καμπάνια, συλλέγοντας σχεδόν 10,000 σετ διαπιστευτηρίων Okta και ελέγχου ταυτότητας δύο παραγόντων (2FA).

Αυτό προκύπτει από έρευνα του Group-IB, η οποία διαπίστωσε ότι αρκετοί γνωστοί οργανισμοί ήταν μεταξύ εκείνων που στοχοποιήθηκαν σε μια μαζική εκστρατεία phishing που ονομάζει 0ktapus. Τα δέλεαρ ήταν απλά, όπως οι ψεύτικες ειδοποιήσεις που χρειάζονταν οι χρήστες για να επαναφέρουν τους κωδικούς πρόσβασής τους. Στάλθηκαν μέσω κειμένων με συνδέσμους σε στατικούς ιστότοπους phishing που αντικατοπτρίζουν τη σελίδα ελέγχου ταυτότητας Okta κάθε συγκεκριμένου οργανισμού.

«Παρά τη χρήση μεθόδων χαμηλής δεξιότητας, [η ομάδα] μπόρεσε να θέσει σε κίνδυνο έναν μεγάλο αριθμό γνωστών οργανισμών», ανέφεραν οι ερευνητές σε μια blog post σήμερα. «Επιπλέον, μόλις οι επιτιθέμενοι έβαλαν σε κίνδυνο έναν οργανισμό, μπόρεσαν γρήγορα να περιστραφούν και να εξαπολύσουν επακόλουθες επιθέσεις στην αλυσίδα εφοδιασμού, υποδεικνύοντας ότι η επίθεση είχε σχεδιαστεί προσεκτικά εκ των προτέρων».

Τέτοια ήταν η περίπτωση με το Παραβίαση Twilio που συνέβη στις 4 Αυγούστου. Οι εισβολείς μπόρεσαν να δημιουργήσουν κοινωνικούς μηχανικούς αρκετούς υπαλλήλους ώστε να παραδώσουν τα διαπιστευτήριά τους Okta που χρησιμοποιούνται για απλή σύνδεση σε ολόκληρο τον οργανισμό, επιτρέποντάς τους να αποκτήσουν πρόσβαση σε εσωτερικά συστήματα, εφαρμογές και δεδομένα πελατών. Η παραβίαση επηρέασε περίπου 25 μεταγενέστερους οργανισμούς που χρησιμοποιούν την επαλήθευση τηλεφώνου της Twilio και άλλες υπηρεσίες — συμπεριλαμβανομένης της Signal, η οποία εξέδωσε μια δήλωση επιβεβαιώνοντας ότι περίπου 1,900 χρήστες θα μπορούσαν να είχαν παραβιάσει τους αριθμούς τηλεφώνου τους στο περιστατικό.

Η πλειονότητα των 130 εταιρειών που στοχεύθηκαν ήταν εταιρείες SaaS και λογισμικού στις ΗΠΑ — δεν αποτελεί έκπληξη, δεδομένου φύση της επίθεσης στην αλυσίδα εφοδιασμού.

Για παράδειγμα, επιπλέον θύματα στην εκστρατεία περιλαμβάνουν τις εταιρείες μάρκετινγκ ηλεκτρονικού ταχυδρομείου Klaviyo και MailChimp. Και στις δύο περιπτώσεις, οι απατεώνες ξεχώρισαν με ονόματα, διευθύνσεις, email και αριθμούς τηλεφώνου των πελατών τους που σχετίζονται με κρυπτονομίσματα, συμπεριλαμβανομένου του πελάτη του Mailchimp DigitalOcean (το οποίο στη συνέχεια έριξε τον πάροχο).

In Η περίπτωση του Cloudflare, ορισμένοι υπάλληλοι έπεσαν στο τέχνασμα, αλλά η επίθεση αποτράπηκε χάρη στα φυσικά κλειδιά ασφαλείας που εκδόθηκαν σε κάθε υπάλληλο που απαιτείται να έχει πρόσβαση σε όλες τις εσωτερικές εφαρμογές.

Ο Lior Yaari, Διευθύνων Σύμβουλος και συνιδρυτής της Grip Security, σημειώνει ότι η έκταση και η αιτία της παραβίασης πέρα ​​από τα ευρήματα του Group IB είναι ακόμη άγνωστα, επομένως θα μπορούσαν να έρθουν στο φως επιπλέον θύματα.

«Η αναγνώριση όλων των χρηστών μιας εφαρμογής SaaS δεν είναι πάντα εύκολη για μια ομάδα ασφαλείας, ειδικά για εκείνους όπου οι χρήστες χρησιμοποιούν τα δικά τους στοιχεία σύνδεσης και κωδικούς πρόσβασης», προειδοποιεί. "Η ανακάλυψη του Shadow SaaS δεν είναι ένα απλό πρόβλημα, αλλά υπάρχουν λύσεις εκεί έξω που μπορούν να ανακαλύψουν και να επαναφέρουν τους κωδικούς πρόσβασης χρηστών για το shadow SaaS."

Ώρα να ξανασκεφτείτε το IAM;

Σε γενικές γραμμές, η επιτυχία της εκστρατείας δείχνει το πρόβλημα με το να βασιζόμαστε στους ανθρώπους για τον εντοπισμό της κοινωνικής μηχανικής και τα κενά στα υπάρχοντα διαχείριση ταυτότητας και πρόσβασης (ΙΑΜ) πλησιάζει.

«Η επίθεση καταδεικνύει πόσο εύθραυστο είναι το IAM σήμερα και γιατί η βιομηχανία πρέπει να σκεφτεί να αφαιρέσει το βάρος των συνδέσεων και των κωδικών πρόσβασης από υπαλλήλους που είναι επιρρεπείς σε κοινωνικές μηχανικές και εξελιγμένες επιθέσεις phishing», λέει ο Yaari. «Η καλύτερη προληπτική προσπάθεια αποκατάστασης που μπορούν να κάνουν οι εταιρείες είναι να ζητούν από τους χρήστες να επαναφέρουν όλους τους κωδικούς πρόσβασης, ειδικά το Okta. "

Το περιστατικό επισημαίνει επίσης ότι οι επιχειρήσεις βασίζονται όλο και περισσότερο στην πρόσβαση των εργαζομένων τους σε τερματικά σημεία κινητής τηλεφωνίας για να είναι παραγωγικές στο σύγχρονο κατανεμημένο εργατικό δυναμικό, δημιουργώντας ένα πλούσιο, νέο πεδίο phishing για επιτιθέμενους όπως οι ηθοποιοί 0ktapus, σύμφωνα με τον Richard Melick, διευθυντή αναφοράς απειλών στο Zimperium.

«Από το ηλεκτρονικό ψάρεμα έως τις απειλές δικτύου, τις κακόβουλες εφαρμογές έως τις παραβιασμένες συσκευές, είναι σημαντικό για τις επιχειρήσεις να αναγνωρίσουν ότι η επιφάνεια επίθεσης από κινητά είναι ο μεγαλύτερος απροστάτευτος φορέας στα δεδομένα και την πρόσβασή τους», έγραψε σε μια δήλωση που εστάλη μέσω email.