A Twilio-t és a Cloudflare-t augusztus elején feltörő hackerek több mint 130 másik szervezetbe is beszivárogtak ugyanabban a kampányban, közel 10,000 2 Okta- és kétfaktoros hitelesítési (XNUMXFA) hitelesítő adatkészletet felporszívózva.
Ez derül ki a Group-IB vizsgálatából, amely megállapította, hogy több jól ismert szervezet is volt azok között, akik a 0ktapusnak nevezett hatalmas adathalász kampány célpontjai voltak. A csalik egyszerűek voltak, például hamis értesítések, amelyekre a felhasználóknak szükségük volt jelszavaik visszaállításához. Ezeket olyan szövegekben küldték el, amelyek statikus adathalász webhelyekre mutató hivatkozásokat tartalmaznak, amelyek tükrözik az egyes szervezetek Okta hitelesítési oldalát.
"Annak ellenére, hogy alacsony képzettségű módszereket használt, [a csoport] számos jól ismert szervezetet tudott kompromittálni" - mondták a kutatók egy blogbejegyzés. "Továbbá, amint a támadók kompromittáltak egy szervezetet, gyorsan el tudtak fordulni, és újabb ellátási lánc támadásokat indítottak, ami azt jelzi, hogy a támadást gondosan előre megtervezték."
Így volt ez a Twilio megsértése augusztus 4-én történt. A támadók képesek voltak arra ösztönözni több alkalmazottat, hogy átadják az egyszeri bejelentkezéshez használt Okta-hitelesítő adataikat a szervezetben, így hozzáférhetnek a belső rendszerekhez, alkalmazásokhoz és ügyféladatokhoz. A jogsértés körülbelül 25 olyan szervezetet érintett, amelyek a Twilio telefonellenőrzési és egyéb szolgáltatásait használják – köztük a Signalt, amely nyilatkozat megerősítve, hogy körülbelül 1,900 felhasználó telefonszámát eltéríthették az incidens során.
A megcélzott 130 vállalat többsége SaaS- és szoftvercég volt az Egyesült Államokban – ez nem meglepő, tekintettel a a támadás ellátási lánc jellege.
Például a kampány további áldozatai közé tartozik a Klaviyo és az e-mail marketing cégek MailChimp. Mindkét esetben a szélhámosok kriptovalutával kapcsolatos ügyfeleik nevével, címével, e-mail-címével és telefonszámaival keresték meg, beleértve a DigitalOcean Mailchimp-ügyfelet is (a későbbiekben lemondta a szolgáltatót).
In Cloudflare esete, néhány alkalmazott bedőlt a cselnek, de a támadást meghiúsították, köszönhetően a minden alkalmazottnak kiadott fizikai biztonsági kulcsnak, amely az összes belső alkalmazás eléréséhez szükséges.
Lior Yaari, a Grip Security vezérigazgatója és társalapítója megjegyzi, hogy az IB-csoport megállapításain túlmenően a jogsértés mértéke és oka még mindig ismeretlen, így további áldozatokra is fény derülhet.
„A SaaS-alkalmazások összes felhasználójának azonosítása nem mindig egyszerű a biztonsági csapat számára, különösen azoknak, ahol a felhasználók saját bejelentkezési nevüket és jelszavaikat használják” – figyelmeztet. "A Shadow SaaS felfedezése nem egyszerű probléma, de vannak megoldások, amelyek felfedezhetik és visszaállíthatják az árnyék SaaS felhasználói jelszavait."
Ideje újragondolni az IAM-et?
Összességében a kampány sikere jól szemlélteti, milyen nehézségekbe ütközik, ha az emberekre hagyatkozik a szociális manipuláció észlelésében, valamint a meglévő hiányosságokat. identitás- és hozzáférés-kezelés (IAM) közeledik.
"A támadás megmutatja, mennyire törékeny az IAM manapság, és miért kell az iparágnak elgondolkodnia azon, hogy eltávolítsák a bejelentkezési adatok és jelszavak terhét azokról az alkalmazottakról, akik ki vannak téve a szociális manipulációnak és a kifinomult adathalász támadásoknak" - mondja Yaari. „A legjobb proaktív kárelhárítási erőfeszítés, amit a vállalatok tehetnek, ha a felhasználókat visszaállítják az összes jelszavukat, főleg Okta. "
Az incidens arra is rámutat, hogy a vállalatok egyre inkább támaszkodnak arra, hogy alkalmazottaik hozzáférjenek a mobil végpontokhoz, hogy termelékenyek legyenek a modern, elosztott munkaerőben, így gazdag, új adathalászterületet teremtenek a támadók, például a 0ktapus szereplői számára – mondta Richard Melick, a fenyegetések jelentéséért felelős igazgató. Zimperium.
„Az adathalászattól a hálózati fenyegetésekig, a rosszindulatú alkalmazásoktól a feltört eszközökig nagyon fontos, hogy a vállalatok elismerjék, hogy a mobil támadási felület az adatok és hozzáférésük legnagyobb védtelen vektora” – írta egy e-mailben elküldött közleményében.
