Twilio Hackers Sciarpa 10 credenziali Okta nell'attacco tentacolare della catena di approvvigionamento

Gli hacker che hanno violato Twilio e Cloudflare all'inizio di agosto si sono infiltrati anche in più di 130 altre organizzazioni nella stessa campagna, aspirando quasi 10,000 set di credenziali Okta e di autenticazione a due fattori (2FA).

Questo secondo un'indagine del Group-IB, che ha scoperto che diverse organizzazioni famose erano tra quelle prese di mira in una massiccia campagna di phishing che chiama 0ktapus. Le esche erano semplici, come false notifiche di cui gli utenti avevano bisogno per reimpostare le password. Sono stati inviati tramite SMS con collegamenti a siti di phishing statici che rispecchiano la pagina di autenticazione Okta di ciascuna specifica organizzazione.

"Nonostante l'utilizzo di metodi poco qualificati, [il gruppo] è stato in grado di compromettere un gran numero di organizzazioni ben note", hanno affermato i ricercatori in un post sul blog oggi. "Inoltre, una volta che gli aggressori hanno compromesso un'organizzazione, sono stati rapidamente in grado di ruotare e lanciare successivi attacchi alla catena di approvvigionamento, indicando che l'attacco era stato pianificato con cura in anticipo".

Tale era il caso con il Violazione del Twilio ciò si è verificato il 4 agosto. Gli aggressori sono stati in grado di progettare socialmente diversi dipendenti per consegnare le loro credenziali Okta utilizzate per il single sign-on in tutta l'organizzazione, consentendo loro di accedere ai sistemi interni, alle applicazioni e ai dati dei clienti. La violazione ha colpito circa 25 organizzazioni a valle che utilizzano la verifica telefonica di Twilio e altri servizi, tra cui Signal, che ha emesso una dichiarazione confermando che circa 1,900 utenti avrebbero potuto subire il dirottamento dei loro numeri di telefono nell'incidente.

La maggior parte delle 130 società prese di mira erano SaaS e società di software negli Stati Uniti, non sorprende, dato il natura della catena di approvvigionamento dell'attacco.

Ad esempio, altre vittime della campagna includono le società di email marketing Klaviyo e Mailchimp. In entrambi i casi, i truffatori sono scappati con nomi, indirizzi, e-mail e numeri di telefono dei loro clienti legati alle criptovalute, incluso il cliente di Mailchimp DigitalOcean (che successivamente ha abbandonato il provider).

In Il caso di Cloudflare, alcuni dipendenti sono caduti nello stratagemma, ma l'attacco è stato sventato grazie alle chiavi di sicurezza fisiche rilasciate a ogni dipendente necessarie per accedere a tutte le applicazioni interne.

Lior Yaari, CEO e co-fondatore di Grip Security, osserva che l'entità e la causa della violazione al di là dei risultati del Gruppo IB sono ancora sconosciute, quindi potrebbero venire alla luce altre vittime.

"Identificare tutti gli utenti di un'app SaaS non è sempre facile per un team di sicurezza, in particolare quelli in cui gli utenti utilizzano i propri accessi e password", avverte. "L'individuazione di Shadow SaaS non è un problema semplice, ma esistono soluzioni in grado di rilevare e reimpostare le password degli utenti per Shadow SaaS".

È ora di ripensare a IAM?

Nel complesso, il successo della campagna illustra il problema di fare affidamento sugli esseri umani per rilevare l'ingegneria sociale e le lacune esistenti identità e gestione degli accessi (IAM) si avvicina.

"L'attacco dimostra quanto sia fragile l'IAM oggi e perché il settore dovrebbe pensare di rimuovere il carico di accessi e password dai dipendenti che sono suscettibili di ingegneria sociale e sofisticati attacchi di phishing", afferma Yaari. "Il miglior sforzo di riparazione proattivo che le aziende possono fare è fare in modo che gli utenti reimpostino tutte le loro password, soprattutto Okta. "

L'incidente sottolinea inoltre che le aziende fanno sempre più affidamento sull'accesso dei propri dipendenti agli endpoint mobili per essere produttive nella moderna forza lavoro distribuita, creando un nuovo e ricco terreno di phishing per gli aggressori come gli attori di 0ktapus, secondo Richard Melick, direttore della segnalazione delle minacce presso Zimperio.

"Dal phishing alle minacce di rete, dalle applicazioni dannose ai dispositivi compromessi, è fondamentale per le aziende riconoscere che la superficie di attacco mobile è il più grande vettore non protetto per i loro dati e accesso", ha scritto in una dichiarazione inviata via e-mail.