De hackers die eerder in augustus Twilio en Cloudflare binnendrongen, infiltreerden ook meer dan 130 andere organisaties in dezelfde campagne, waarbij bijna 10,000 sets Okta- en two-factor authenticatie (2FA)-referenties werden opgezogen.
Dat is volgens een onderzoek van Group-IB, waaruit bleek dat verschillende bekende organisaties het doelwit waren van een massale phishing-campagne die het 0ktapus noemt. Het kunstaas was eenvoudig, zoals nepmeldingen die gebruikers nodig hadden om hun wachtwoord opnieuw in te stellen. Ze werden verzonden via teksten met links naar statische phishing-sites die de Okta-authenticatiepagina van elke specifieke organisatie weerspiegelen.
"Ondanks het gebruik van laaggeschoolde methoden, was [de groep] in staat een groot aantal bekende organisaties in gevaar te brengen", aldus onderzoekers in een blogpost vandaag. "Bovendien waren de aanvallers, zodra ze een organisatie hadden gecompromitteerd, snel in staat om volgende aanvallen op de toeleveringsketen te draaien en te lanceren, wat aangeeft dat de aanval zorgvuldig van tevoren was gepland."
Dat was het geval met de Twilio-inbreuk dat gebeurde op 4 augustus. De aanvallers waren in staat om verschillende werknemers social-engineered te krijgen om hun Okta-inloggegevens te overhandigen die werden gebruikt voor eenmalige aanmelding in de hele organisatie, waardoor ze toegang kregen tot interne systemen, applicaties en klantgegevens. De inbreuk trof ongeveer 25 downstream-organisaties die de telefoonverificatie en andere diensten van Twilio gebruiken, waaronder Signal, dat een een verklaring bevestigt dat ongeveer 1,900 gebruikers hun telefoonnummers kunnen hebben gekaapt tijdens het incident.
De meerderheid van de 130 bedrijven die het doelwit waren, waren SaaS- en softwarebedrijven in de VS toeleveringsketen aard van de aanval.
Andere slachtoffers in de campagne zijn bijvoorbeeld e-mailmarketingbedrijven Klaviyo en MailChimp. In beide gevallen gingen de boeven er vandoor met namen, adressen, e-mails en telefoonnummers van hun cryptocurrency-gerelateerde klanten, ook voor Mailchimp-klant DigitalOcean (die vervolgens heeft de provider laten vallen).
In Het geval van Cloudflare, vielen sommige medewerkers voor de list, maar de aanval werd gedwarsboomd dankzij de fysieke beveiligingssleutels die aan elke medewerker werden verstrekt en die nodig zijn om toegang te krijgen tot alle interne applicaties.
Lior Yaari, CEO en mede-oprichter van Grip Security, merkt op dat de omvang en de oorzaak van de inbreuk buiten de bevindingen van Group IB nog steeds niet bekend is, dus er zouden nog meer slachtoffers aan het licht kunnen komen.
"Het identificeren van alle gebruikers van een SaaS-app is niet altijd gemakkelijk voor een beveiligingsteam, vooral niet voor degenen waarbij gebruikers hun eigen logins en wachtwoorden gebruiken", waarschuwt hij. "Shadow SaaS-detectie is geen eenvoudig probleem, maar er zijn oplossingen die gebruikerswachtwoorden voor Shadow SaaS kunnen ontdekken en opnieuw instellen."
Tijd om IAM te heroverwegen?
Over het geheel genomen illustreert het succes van de campagne hoe moeilijk het is om op mensen te vertrouwen om social engineering te detecteren, en de hiaten in bestaande identiteits- en toegangsbeheer (IAM) nadert.
"De aanval laat zien hoe kwetsbaar IAM tegenwoordig is en waarom de industrie moet nadenken over het wegnemen van de last van logins en wachtwoorden van werknemers die vatbaar zijn voor social engineering en geavanceerde phishing-aanvallen", zegt Yaari. “De beste proactieve herstelpoging die bedrijven kunnen ondernemen, is gebruikers al hun wachtwoorden te laten resetten, vooral Okta. '
Het incident wijst er ook op dat bedrijven in toenemende mate afhankelijk zijn van de toegang van hun werknemers tot mobiele eindpunten om productief te zijn in het moderne gedistribueerde personeelsbestand, waardoor een rijke, nieuwe phishing-grond wordt gecreëerd voor aanvallers zoals de 0ktapus-acteurs, volgens Richard Melick, directeur van threat reporting bij Zimperium.
"Van phishing tot netwerkbedreigingen, kwaadaardige toepassingen tot gecompromitteerde apparaten, het is van cruciaal belang voor bedrijven om te erkennen dat het mobiele aanvalsoppervlak de grootste onbeschermde vector is voor hun gegevens en toegang", schreef hij in een verklaring per e-mail.
