Хакери, які зламали Twilio і Cloudflare раніше в серпні, також проникли в понад 130 інших організацій у тій самій кампанії, знищивши майже 10,000 2 наборів облікових даних Okta та двофакторної автентифікації (XNUMXFA).
Це згідно з розслідуванням Group-IB, яке виявило, що кілька відомих організацій були серед цілей масштабної фішингової кампанії, яка називається 0ktapus. Приваби були простими, наприклад, підроблені сповіщення про те, що користувачам потрібно скинути свої паролі. Вони були надіслані через текстові повідомлення з посиланнями на статичні фішингові сайти, що віддзеркалюють сторінку автентифікації Okta кожної конкретної організації.
«Незважаючи на використання методів низької кваліфікації, [група] змогла скомпрометувати велику кількість відомих організацій», — заявили дослідники в блог сьогодні. «Крім того, щойно зловмисники скомпрометували організацію, вони швидко змогли змінити та розпочати наступні атаки на ланцюг поставок, що свідчить про те, що атака була ретельно спланована заздалегідь».
Так було з Порушення Twilio це сталося 4 серпня. Зловмисникам вдалося спровокувати соціальних інженерів кількох співробітників передати їхні облікові дані Okta, які використовуються для єдиного входу в усій організації, дозволяючи їм отримати доступ до внутрішніх систем, програм і даних клієнтів. Порушення торкнулося близько 25 організацій нижчого рівня, які використовують перевірку телефону Twilio та інші служби, включаючи Signal, яка випустила заяву підтверджуючи, що під час інциденту телефонні номери близько 1,900 користувачів могли бути викрадені.
Більшість із 130 компаній, на які потрапили цілі, були компанії SaaS і програмного забезпечення в США, що не дивно, враховуючи характер атаки ланцюга поставок.
Наприклад, додатковими жертвами кампанії є фірми електронного маркетингу Klaviyo та Mailchimp. В обох випадках шахраї втекли з іменами, адресами, електронними адресами та номерами телефонів своїх клієнтів, пов’язаних із криптовалютою, включно з клієнтом Mailchimp DigitalOcean (який згодом скинув провайдера).
In Справа Cloudflare, деякі співробітники попалися на хитрість, але атаку вдалося запобігти завдяки фізичним ключам безпеки, виданим кожному співробітнику, які потрібні для доступу до всіх внутрішніх програм.
Ліор Яарі, генеральний директор і співзасновник Grip Security, зазначає, що масштаб і причина порушення, окрім висновків Group IB, досі невідомі, тому можуть бути виявлені додаткові жертви.
«Ідентифікувати всіх користувачів програми SaaS не завжди легко для команди безпеки, особливо тих, де користувачі використовують власні логіни та паролі», — попереджає він. «Виявлення Shadow SaaS — не проста проблема, але існують рішення, які можуть виявити та скинути паролі користувачів для shadow SaaS».
Час переосмислити IAM?
Загалом, успіх кампанії ілюструє проблеми, пов’язані з виявленням соціальної інженерії людьми, а також прогалини в існуючих управління ідентифікацією та доступом (IAM) підходи.
«Ця атака демонструє, наскільки крихким є сьогодні IAM і чому індустрія повинна подумати про те, щоб зняти тягар логінів і паролів із співробітників, які сприйнятливі до соціальної інженерії та складних фішингових атак», — каже Яарі. «Найкращий профілактичний крок, який можуть зробити компанії, — це дозволити користувачам скинути всі свої паролі, особливо Окта».
Інцидент також вказує на те, що підприємства все більше покладаються на доступ своїх співробітників до мобільних кінцевих точок, щоб бути продуктивними в сучасній розподіленій робочій силі, створюючи новий багатий фішинговий майданчик для зловмисників, таких як актори 0ktapus, за словами Річарда Меліка, директора звітності про загрози в Цимперіум.
«Від фішингу до мережевих загроз, зловмисних програм і скомпрометованих пристроїв, підприємствам дуже важливо визнати, що поверхня мобільних атак є найбільшим незахищеним вектором їхніх даних і доступу», — написав він у заяві, надісланій електронною поштою.
