Hackerne som brøt Twilio og Cloudflare tidligere i august infiltrerte også mer enn 130 andre organisasjoner i den samme kampanjen, og sugde opp nesten 10,000 2 sett med Okta- og tofaktorautentisering (XNUMXFA).
Det er ifølge en undersøkelse fra Group-IB, som fant at flere kjente organisasjoner var blant dem som ble målrettet i en massiv phishing-kampanje som den kaller 0ktapus. Lokkene var enkle, for eksempel falske varsler om at brukerne trengte for å tilbakestille passordene sine. De ble sendt via tekstmeldinger med lenker til statiske phishing-sider som speiler Okta-autentiseringssiden til hver spesifikke organisasjon.
"Til tross for å bruke metoder med lav kompetanse, var [gruppen] i stand til å kompromittere et stort antall kjente organisasjoner," sa forskere i en blogginnlegg i dag. "I tillegg, når angriperne kompromitterte en organisasjon, var de raskt i stand til å svinge og starte påfølgende forsyningskjedeangrep, noe som indikerer at angrepet var nøye planlagt på forhånd."
Slik var tilfellet med Twilio brudd som skjedde 4. august. Angriperne var i stand til å sosialkonstruere flere ansatte til å overlevere deres Okta-legitimasjon som ble brukt for enkeltpålogging på tvers av organisasjonen, slik at de fikk tilgang til interne systemer, applikasjoner og kundedata. Bruddet rammet rundt 25 nedstrømsorganisasjoner som bruker Twilios telefonverifisering og andre tjenester - inkludert Signal, som utstedte en uttalelse bekrefter at rundt 1,900 brukere kunne ha blitt kapret telefonnumre i hendelsen.
Flertallet av de 130 selskapene som ble målrettet var SaaS- og programvareselskaper i USA – ikke overraskende, gitt forsyningskjedens karakter av angrepet.
For eksempel inkluderer flere ofre i kampanjen e-postmarkedsføringsfirmaene Klaviyo og MailChimp. I begge tilfeller stakk skurkene av med navn, adresser, e-poster og telefonnumre til deres kryptovaluta-relaterte kunder, inkludert for Mailchimp-kunden DigitalOcean (som senere droppet leverandøren).
In Cloudflares sak, noen ansatte falt for listen, men angrepet ble hindret takket være de fysiske sikkerhetsnøklene som ble utstedt til hver ansatt som kreves for å få tilgang til alle interne applikasjoner.
Lior Yaari, administrerende direktør og medgründer av Grip Security, bemerker at omfanget og årsaken til bruddet utover Group IBs funn fortsatt er ukjent, så flere ofre kan komme frem.
"Å identifisere alle brukerne av en SaaS-app er ikke alltid lett for et sikkerhetsteam, spesielt de der brukerne bruker sine egne pålogginger og passord," advarer han. "Shadow SaaS-oppdagelse er ikke et enkelt problem, men det finnes løsninger der ute som kan oppdage og tilbakestille brukerpassord for shadow SaaS."
På tide å revurdere IAM?
I det hele tatt illustrerer suksessen til kampanjen problemet med å stole på mennesker for å oppdage sosial ingeniørkunst, og hullene i eksisterende styring av identitet og tilgang (IAM) nærmer seg.
"Angrepet viser hvor skjør IAM er i dag og hvorfor industrien bør tenke på å fjerne byrden med pålogginger og passord fra ansatte som er utsatt for sosial ingeniørkunst og sofistikert phishing-angrep," sier Yaari. "Den beste proaktive utbedringsinnsatsen bedrifter kan gjøre er å la brukerne tilbakestille alle passordene sine, spesielt Okta».
Hendelsen påpeker også at bedrifter i økende grad stoler på at de ansatte har tilgang til mobile endepunkter for å være produktive i den moderne distribuerte arbeidsstyrken, og skaper en rik, ny phishing-plass for angripere som 0ktapus-aktørene, ifølge Richard Melick, direktør for trusselrapportering ved Zimperium.
"Fra phishing til nettverkstrusler, ondsinnede applikasjoner til kompromitterte enheter, er det avgjørende for bedrifter å erkjenne at den mobile angrepsoverflaten er den største ubeskyttede vektoren til deres data og tilgang," skrev han i en e-postmelding.
