Peretas yang melanggar Twilio dan Cloudflare pada awal Agustus juga menyusup ke lebih dari 130 organisasi lain dalam kampanye yang sama, menyedot hampir 10,000 set kredensial Okta dan otentikasi dua faktor (2FA).
Itu menurut penyelidikan dari Group-IB, yang menemukan bahwa beberapa organisasi terkenal termasuk di antara mereka yang ditargetkan dalam kampanye phishing besar-besaran yang disebut 0ktapus. Umpannya sederhana, seperti pemberitahuan palsu bahwa pengguna perlu mengatur ulang kata sandi mereka. Mereka dikirim melalui teks dengan tautan ke situs phishing statis yang mencerminkan halaman otentikasi Okta dari setiap organisasi tertentu.
“Meskipun menggunakan metode keterampilan rendah, [kelompok] mampu berkompromi dengan sejumlah besar organisasi terkenal,” kata para peneliti dalam sebuah posting blog hari ini. “Selanjutnya, begitu penyerang mengkompromikan sebuah organisasi, mereka dengan cepat dapat berputar dan meluncurkan serangan rantai pasokan berikutnya, yang menunjukkan bahwa serangan itu direncanakan dengan hati-hati sebelumnya.”
Seperti yang terjadi dengan Pelanggaran Twilio yang terjadi 4 Agustus. Para penyerang mampu merekayasa sosial beberapa karyawan untuk menyerahkan kredensial Okta mereka yang digunakan untuk sistem masuk tunggal di seluruh organisasi, yang memungkinkan mereka mendapatkan akses ke sistem internal, aplikasi, dan data pelanggan. Pelanggaran tersebut memengaruhi sekitar 25 organisasi hilir yang menggunakan verifikasi telepon Twilio dan layanan lainnya — termasuk Signal, yang mengeluarkan pernyataan mengkonfirmasikan bahwa sekitar 1,900 pengguna bisa saja nomor telepon mereka dibajak dalam insiden tersebut.
Mayoritas dari 130 perusahaan yang ditargetkan adalah SaaS dan perusahaan perangkat lunak di AS — tidak mengejutkan, mengingat rantai pasokan sifat serangan.
Misalnya, korban tambahan dalam kampanye termasuk perusahaan pemasaran email Klaviyo dan MailChimp. Dalam kedua kasus, para penjahat kabur dengan nama, alamat, email, dan nomor telepon pelanggan terkait cryptocurrency mereka, termasuk untuk pelanggan Mailchimp DigitalOcean (yang kemudian menjatuhkan penyedia).
In Kasus Cloudflare, beberapa karyawan jatuh karena tipu muslihat, tetapi serangan itu digagalkan berkat kunci keamanan fisik yang dikeluarkan untuk setiap karyawan yang diperlukan untuk mengakses semua aplikasi internal.
Lior Yaari, CEO dan salah satu pendiri Grip Security, mencatat bahwa tingkat dan penyebab pelanggaran di luar temuan Grup IB masih belum diketahui, sehingga korban tambahan dapat terungkap.
“Mengidentifikasi semua pengguna aplikasi SaaS tidak selalu mudah bagi tim keamanan, terutama mereka yang menggunakan login dan kata sandi mereka sendiri,” dia memperingatkan. “Penemuan Shadow SaaS bukanlah masalah sederhana, tetapi ada solusi di luar sana yang dapat menemukan dan mengatur ulang kata sandi pengguna untuk shadow SaaS.”
Saatnya Memikirkan Kembali IAM?
Secara keseluruhan, keberhasilan kampanye menggambarkan masalah dengan mengandalkan manusia untuk mendeteksi rekayasa sosial, dan kesenjangan yang ada identitas dan manajemen akses (IAM) pendekatan.
“Serangan tersebut menunjukkan betapa rapuhnya IAM saat ini dan mengapa industri harus berpikir untuk menghapus beban login dan kata sandi dari karyawan yang rentan terhadap rekayasa sosial dan serangan phishing yang canggih,” kata Yaari. “Upaya perbaikan proaktif terbaik yang dapat dilakukan perusahaan adalah meminta pengguna mengatur ulang semua kata sandi mereka, terutama Okta. "
Insiden itu juga menunjukkan bahwa perusahaan semakin mengandalkan akses karyawan mereka ke titik akhir seluler untuk menjadi produktif di tenaga kerja terdistribusi modern, menciptakan tempat phishing baru yang kaya bagi penyerang seperti aktor 0ktapus, menurut Richard Melick, direktur pelaporan ancaman di Zimperium.
“Dari phishing hingga ancaman jaringan, aplikasi jahat hingga perangkat yang disusupi, penting bagi perusahaan untuk menyadari bahwa permukaan serangan seluler adalah vektor terbesar yang tidak terlindungi terhadap data dan akses mereka,” tulisnya dalam pernyataan email.
