Ağustos ayının başlarında Twilio ve Cloudflare'i ihlal eden bilgisayar korsanları, aynı kampanyada 130'dan fazla başka kuruluşa da sızarak yaklaşık 10,000 Okta ve iki faktörlü kimlik doğrulama (2FA) kimlik bilgilerini boşalttı.
Bu, Group-IB'nin 0ktapus adını verdiği büyük bir kimlik avı kampanyasında hedef alınanlar arasında birkaç tanınmış kuruluşun bulunduğunu tespit eden bir araştırmaya göre. Kullanıcıların parolalarını sıfırlamak için ihtiyaç duyduğu sahte bildirimler gibi cazibeler basitti. Her bir belirli kuruluşun Okta kimlik doğrulama sayfasını yansıtan statik kimlik avı sitelerine bağlantılar içeren metinler aracılığıyla gönderildiler.
Araştırmacılar, "Düşük becerili yöntemler kullanmasına rağmen, [grup] çok sayıda tanınmış kuruluşu tehlikeye atmayı başardı" dedi. bugün blog yazısı. "Ayrıca, saldırganlar bir organizasyonu ele geçirdikten sonra, hızlı bir şekilde sonraki tedarik zinciri saldırılarını başlatabildiler ve bu da saldırının önceden dikkatlice planlandığını gösteriyor."
olayda böyleydi Twilio ihlali Bu olay 4 Ağustos'ta gerçekleşti. Saldırganlar, birkaç çalışanın kurum genelinde tek oturum açma için kullanılan Okta kimlik bilgilerini teslim etmeleri için sosyal mühendislik yaparak dahili sistemlere, uygulamalara ve müşteri verilerine erişmelerini sağladı. İhlal, Twilio'nun telefon doğrulamasını ve diğer servislerini kullanan yaklaşık 25 alt kuruluşu etkiledi. bir açıklama olayda yaklaşık 1,900 kullanıcının telefon numaralarının çalınmış olabileceğini doğruladı.
Hedeflenen 130 şirketin çoğunluğu ABD'deki SaaS ve yazılım şirketleriydi. saldırının tedarik zinciri yapısı.
Örneğin, kampanyadaki ek kurbanlar arasında e-posta pazarlama şirketleri Klaviyo ve . Her iki durumda da, dolandırıcılar, Mailchimp müşterisi DigitalOcean (sonradan daha sonra ortaya çıkan) dahil olmak üzere kripto para birimiyle ilgili müşterilerinin adlarını, adreslerini, e-postalarını ve telefon numaralarını aldı. sağlayıcıyı düşürdü).
In Cloudflare davası, bazı çalışanlar hileye düştü, ancak tüm dahili uygulamalara erişmesi gereken her çalışana verilen fiziksel güvenlik anahtarları sayesinde saldırı engellendi.
Grip Security CEO'su ve kurucu ortağı Lior Yaari, Grup IB'nin bulgularının ötesinde ihlalin kapsamı ve nedeninin hala bilinmediğini, bu nedenle ek kurbanların ortaya çıkabileceğini belirtiyor.
"SaaS uygulamasının tüm kullanıcılarını belirlemek, özellikle kullanıcıların kendi oturum açma bilgilerini ve şifrelerini kullandıkları bir güvenlik ekibi için her zaman kolay değildir" diye uyarıyor. "Shadow SaaS keşfi basit bir sorun değil, ancak gölge SaaS için kullanıcı parolalarını keşfedip sıfırlayabilecek çözümler var."
IAM'yi Yeniden Düşünme Zamanı mı?
Genel olarak, kampanyanın başarısı, toplum mühendisliğini tespit etmek için insanlara güvenmenin zorluğunu ve var olan boşlukları gösteriyor. kimlik ve erişim yönetimi (IAM) yaklaşır.
Yaari, "Saldırı, bugün IAM'nin ne kadar kırılgan olduğunu ve endüstrinin neden sosyal mühendislik ve karmaşık kimlik avı saldırılarına açık olan çalışanlardan oturum açma ve parola yükünü kaldırmayı düşünmesi gerektiğini gösteriyor" diyor. “Şirketlerin yapabileceği en iyi proaktif iyileştirme çabası, kullanıcıların tüm şifrelerini sıfırlamasını sağlamaktır. özellikle Okta".
Tehdit raporlama direktörü Richard Melick'e göre, olay aynı zamanda işletmelerin modern dağıtılmış işgücünde üretken olmak için çalışanlarının mobil uç noktalara erişimlerine giderek daha fazla güvendiğini ve 0ktapus aktörleri gibi saldırganlar için zengin, yeni bir kimlik avı alanı oluşturduğunu gösteriyor. Zimperyum.
E-postayla gönderilen bir bildiride, "Kimlik avından ağ tehditlerine, kötü amaçlı uygulamalardan güvenliği ihlal edilmiş cihazlara kadar, kuruluşların mobil saldırı yüzeyinin verilerine ve erişimine yönelik en büyük korumasız vektör olduğunu kabul etmeleri çok önemlidir" diye yazdı.
