Hackarna som bröt mot Twilio och Cloudflare tidigare i augusti infiltrerade också mer än 130 andra organisationer i samma kampanj och dammsuger upp nästan 10,000 2 uppsättningar av Okta- och tvåfaktorsautentisering (XNUMXFA).
Det är enligt en undersökning från Group-IB, som fann att flera välkända organisationer var bland dem som var måltavla i en massiv nätfiskekampanj som den kallar 0ktapus. Locken var enkla, som falska meddelanden om att användare behövde återställa sina lösenord. De skickades via sms med länkar till statiska nätfiskewebbplatser som speglar Okta-autentiseringssidan för varje specifik organisation.
"Trots användning av metoder med låg kompetens kunde [gruppen] äventyra ett stort antal välkända organisationer", sa forskare i en blogginlägg idag. "Dessutom, när angriparna äventyrade en organisation kunde de snabbt svänga och starta efterföljande attacker i leveranskedjan, vilket indikerar att attacken planerades noggrant i förväg."
Så var fallet med Twilio brott som inträffade den 4 augusti. Angriparna kunde socialmanipulera flera anställda att lämna över sina Okta-uppgifter som används för enkel inloggning i hela organisationen, vilket ger dem tillgång till interna system, applikationer och kunddata. Överträdelsen påverkade cirka 25 nedströmsorganisationer som använder Twilios telefonverifiering och andra tjänster – inklusive Signal, som utfärdade ett påstående bekräftar att cirka 1,900 XNUMX användare kunde ha fått sina telefonnummer kapade i händelsen.
Majoriteten av de 130 företag som riktades mot var SaaS- och mjukvaruföretag i USA – föga förvånande, med tanke på attackens karaktär av försörjningskedja.
Till exempel, ytterligare offer i kampanjen inkluderar e-postmarknadsföringsföretagen Klaviyo och Mailchimp. I båda fallen kom skurkarna iväg med namn, adresser, e-post och telefonnummer till sina kryptovaluta-relaterade kunder, inklusive för Mailchimp-kunden DigitalOcean (som senare tappade leverantören).
In Cloudflares fall, några anställda föll för list, men attacken motverkades tack vare de fysiska säkerhetsnycklarna som utfärdats till varje anställd som krävs för att komma åt alla interna applikationer.
Lior Yaari, VD och medgrundare av Grip Security, noterar att omfattningen och orsaken till intrånget bortom Group IB:s upptäckter fortfarande är okända, så ytterligare offer kan komma fram.
"Att identifiera alla användare av en SaaS-app är inte alltid lätt för ett säkerhetsteam, särskilt de där användare använder sina egna inloggningar och lösenord", varnar han. "Shadow SaaS-upptäckt är inte ett enkelt problem, men det finns lösningar där ute som kan upptäcka och återställa användarlösenord för shadow SaaS."
Dags att tänka om IAM?
På det hela taget illustrerar kampanjens framgång problemet med att förlita sig på människor för att upptäcka social ingenjörskonst, och luckorna i befintliga identitets- och åtkomsthantering (IAM) närmar sig.
"Attacken visar hur ömtålig IAM är idag och varför branschen bör tänka på att ta bort bördan av inloggningar och lösenord från anställda som är mottagliga för social ingenjörskonst och sofistikerad nätfiskeattack", säger Yaari. "Det bästa proaktiva saneringsarbetet företag kan göra är att låta användarna återställa alla sina lösenord, speciellt Okta. "
Incidenten påpekar också att företag i allt högre grad förlitar sig på sina anställdas tillgång till mobila slutpunkter för att vara produktiva i den moderna distribuerade arbetsstyrkan, vilket skapar en rik, ny nätfiskeplats för angripare som 0ktapus-aktörerna, enligt Richard Melick, chef för hotrapportering på Zimperium.
"Från nätfiske till nätverkshot, skadliga applikationer till komprometterade enheter, det är avgörande för företag att erkänna att den mobila attackytan är den största oskyddade vektorn för deras data och åtkomst", skrev han i ett e-postmeddelande.
