Twilio Hackers Szalik 10 tys. Poświadczeń Okta podczas rozległego ataku w łańcuchu dostaw

Hakerzy, którzy włamali się do Twilio i Cloudflare na początku sierpnia, zinfiltrowali również ponad 130 innych organizacji w ramach tej samej kampanii, odkurzając prawie 10,000 2 zestawów danych uwierzytelniających Okta i dwuskładnikowego (XNUMXFA).

Tak wynika z dochodzenia przeprowadzonego przez Group-IB, które wykazało, że kilka dobrze znanych organizacji znalazło się wśród tych, których celem była masowa kampania phishingowa, którą nazywa ona 0ktapus. Wabiki były proste, takie jak fałszywe powiadomienia, których użytkownicy potrzebowali do zresetowania hasła. Wysyłano je SMS-ami z odsyłaczami do statycznych stron phishingowych, które odzwierciedlają stronę uwierzytelniania Okta każdej konkretnej organizacji.

„Pomimo stosowania metod o niskich umiejętnościach [grupa] była w stanie skompromitować dużą liczbę dobrze znanych organizacji” – stwierdzili naukowcy w blog dzisiaj. „Ponadto, gdy atakujący włamali się do organizacji, byli w stanie szybko zmienić kierunek i przeprowadzić kolejne ataki na łańcuch dostaw, co wskazuje, że atak został starannie zaplanowany z wyprzedzeniem”.

Tak było w przypadku Przełamanie Twilio miało to miejsce 4 sierpnia. Osoby atakujące zdołały za pomocą socjotechniki zmusić kilku pracowników do przekazania ich danych uwierzytelniających Okta używanych do jednokrotnego logowania w całej organizacji, co pozwoliło im uzyskać dostęp do wewnętrznych systemów, aplikacji i danych klientów. Naruszenie dotknęło około 25 organizacji niższego szczebla, które korzystają z weryfikacji telefonicznej Twilio i innych usług — w tym Signal, która wydała oświadczenie potwierdzający, że około 1,900 użytkowników mogło mieć przechwycone numery telefonów w tym incydencie.

Większość ze 130 firm będących celem ataków to firmy SaaS i oprogramowanie w Stanach Zjednoczonych — nic dziwnego, biorąc pod uwagę charakter ataku w łańcuchu dostaw.

Na przykład dodatkowymi ofiarami kampanii są firmy zajmujące się marketingiem e-mailowym Klaviyo i MailChimp. W obu przypadkach oszuści ukradli nazwiska, adresy, e-maile i numery telefonów swoich klientów związanych z kryptowalutami, w tym dla klienta Mailchimp DigitalOcean (który następnie porzucił dostawcę).

In Sprawa Cloudflare, niektórzy pracownicy dali się nabrać na podstęp, ale atak został udaremniony dzięki fizycznym kluczom bezpieczeństwa wydawanym każdemu pracownikowi, który jest wymagany do uzyskania dostępu do wszystkich wewnętrznych aplikacji.

Lior Yaari, dyrektor generalny i współzałożyciel Grip Security, zauważa, że ​​zakres i przyczyna naruszenia wykraczająca poza ustalenia Grupy IB są nadal nieznane, więc dodatkowe ofiary mogą wyjść na jaw.

„Identyfikacja wszystkich użytkowników aplikacji SaaS nie zawsze jest łatwa dla zespołu ds. bezpieczeństwa, zwłaszcza tych, w których użytkownicy używają własnych loginów i haseł”, ostrzega. „Wykrywanie Shadow SaaS nie jest prostym problemem, ale istnieją rozwiązania, które mogą wykrywać i resetować hasła użytkowników do Shadow SaaS”.

Czas przemyśleć IAM?

Ogólnie rzecz biorąc, sukces kampanii ilustruje kłopoty z poleganiem na ludziach w wykrywaniu socjotechniki oraz luki w istniejących zarządzanie tożsamością i dostępem podejścia (IAM).

„Atak pokazuje, jak kruche jest dziś IAM i dlaczego branża powinna pomyśleć o usunięciu ciężaru loginów i haseł z pracowników, którzy są podatni na socjotechnikę i wyrafinowany atak phishingowy” – mówi Yaari. „Najlepszym proaktywnym wysiłkiem naprawczym, jaki mogą podjąć firmy, jest zresetowanie wszystkich haseł przez użytkowników, zwłaszcza Okta".

Incydent wskazuje również, że przedsiębiorstwa w coraz większym stopniu polegają na dostępie swoich pracowników do mobilnych punktów końcowych, aby być produktywnym w nowoczesnej rozproszonej sile roboczej, tworząc bogatą, nową bazę phishingową dla napastników, takich jak aktorzy 0ktapus, według Richarda Melicka, dyrektora ds. raportowania zagrożeń w firmie Zimperium.

„Od phishingu po zagrożenia sieciowe, od złośliwych aplikacji po zainfekowane urządzenia, dla przedsiębiorstw niezwykle ważne jest, aby uznać, że powierzchnia ataku mobilnego jest największym niechronionym wektorem ich danych i dostępu”, napisał w oświadczeniu przesłanym pocztą elektroniczną.