اگست کے اوائل میں Twilio اور Cloudflare کی خلاف ورزی کرنے والے ہیکرز نے اسی مہم میں 130 سے زیادہ دیگر تنظیموں میں بھی دراندازی کی، جس سے Okta کے تقریباً 10,000 سیٹ اور ٹو فیکٹر توثیق (2FA) اسناد کو خالی کر دیا۔
یہ گروپ-IB کی ایک تحقیقات کے مطابق ہے، جس میں پتا چلا ہے کہ بہت سی معروف تنظیمیں ان لوگوں میں شامل تھیں جنہیں ایک بڑے پیمانے پر فشنگ مہم میں نشانہ بنایا گیا تھا جسے یہ 0ktapus کہتے ہیں۔ لالچ آسان تھے، جیسے کہ جعلی اطلاعات جو صارفین کو اپنے پاس ورڈز کو دوبارہ ترتیب دینے کی ضرورت تھی۔ وہ ہر مخصوص تنظیم کے Okta تصدیقی صفحہ کی عکس بندی کرنے والی جامد فشنگ سائٹس کے لنکس کے ساتھ متن کے ذریعے بھیجے گئے تھے۔
"کم مہارت کے طریقوں کو استعمال کرنے کے باوجود، [گروپ] بڑی تعداد میں معروف تنظیموں سے سمجھوتہ کرنے میں کامیاب رہا،" محققین نے کہا۔ بلاگ پوسٹ آج. "مزید برآں، ایک بار جب حملہ آوروں نے کسی تنظیم سے سمجھوتہ کیا، تو وہ تیزی سے محور کرنے اور بعد میں سپلائی چین حملوں کو شروع کرنے میں کامیاب ہو گئے، جس سے یہ ظاہر ہوتا ہے کہ حملے کی منصوبہ بندی پہلے سے کی گئی تھی۔"
کا معاملہ ایسا ہی تھا۔ Twilio خلاف ورزی جو کہ 4 اگست کو پیش آیا۔ حملہ آور کئی ملازمین کو سماجی انجینئر کرنے میں کامیاب ہو گئے کہ وہ اپنی Okta اسناد کے حوالے کر سکیں جو پوری تنظیم میں سنگل سائن آن کے لیے استعمال ہوتے ہیں، جس سے وہ اندرونی سسٹمز، ایپلیکیشنز اور کسٹمر ڈیٹا تک رسائی حاصل کر سکتے تھے۔ اس خلاف ورزی سے تقریباً 25 ڈاون اسٹریم تنظیمیں متاثر ہوئیں جو Twilio کی فون کی تصدیق اور دیگر خدمات کا استعمال کرتی ہیں - بشمول سگنل، جس نے جاری کیا ایک بیان اس بات کی تصدیق کرتے ہوئے کہ واقعہ میں تقریباً 1,900 صارفین کے فون نمبرز ہائی جیک ہو سکتے تھے۔
جن 130 کمپنیوں کو نشانہ بنایا گیا ان میں سے زیادہ تر امریکہ میں SaaS اور سافٹ ویئر کمپنیاں تھیں۔ حملے کی سپلائی چین نوعیت.
مثال کے طور پر، مہم کے اضافی متاثرین میں ای میل مارکیٹنگ فرم Klaviyo اور شامل ہیں۔ MailChimp کے. دونوں ہی صورتوں میں، بدمعاشوں نے اپنے کریپٹو کرنسی سے متعلق صارفین کے نام، پتے، ای میلز اور فون نمبرز کے ساتھ، بشمول Mailchimp کسٹمر DigitalOcean (جو بعد میں فراہم کنندہ کو گرا دیا).
In Cloudflare کا معاملہ، کچھ ملازمین اس کوشش میں پڑ گئے، لیکن حملے کو ہر ملازم کو جاری کردہ فزیکل سیکیورٹی کیز کی بدولت ناکام بنا دیا گیا جو تمام داخلی ایپلی کیشنز تک رسائی کے لیے ضروری ہیں۔
Lior Yaari، CEO اور Grip Security کے شریک بانی، نوٹ کرتے ہیں کہ گروپ IB کے نتائج سے باہر خلاف ورزی کی حد اور وجہ ابھی تک معلوم نہیں ہے، اس لیے اضافی متاثرین سامنے آسکتے ہیں۔
"SaaS ایپ کے تمام صارفین کی شناخت سیکیورٹی ٹیم کے لیے ہمیشہ آسان نہیں ہوتی، خاص طور پر وہ لوگ جہاں صارفین اپنے لاگ ان اور پاس ورڈ استعمال کرتے ہیں،" وہ خبردار کرتا ہے۔ "Shadow SaaS کی دریافت کوئی آسان مسئلہ نہیں ہے، لیکن وہاں ایسے حل موجود ہیں جو شیڈو SaaS کے لیے صارف کے پاس ورڈز کو دریافت اور دوبارہ ترتیب دے سکتے ہیں۔"
IAM پر دوبارہ غور کرنے کا وقت؟
مجموعی طور پر، مہم کی کامیابی سوشل انجینئرنگ کا پتہ لگانے کے لیے انسانوں پر انحصار کرنے کی پریشانی کو واضح کرتی ہے، اور موجودہ شناخت اور رسائی کا انتظام (IAM) کے قریب ہے۔
یاری کا کہنا ہے کہ "حملہ یہ ظاہر کرتا ہے کہ آج IAM کتنا نازک ہے اور کیوں انڈسٹری کو ایسے ملازمین سے لاگ ان اور پاس ورڈز کے بوجھ کو ہٹانے کے بارے میں سوچنا چاہیے جو سوشل انجینئرنگ اور جدید ترین فشنگ حملے کا شکار ہیں،" یاری کہتے ہیں۔ "بہترین فعال اصلاحی کوشش جو کمپنیاں کر سکتی ہیں وہ یہ ہے کہ صارفین اپنے تمام پاس ورڈز کو دوبارہ ترتیب دیں، خاص طور پر Okta".
یہ واقعہ یہ بھی بتاتا ہے کہ انٹرپرائزز جدید تقسیم شدہ افرادی قوت میں نتیجہ خیز ہونے کے لیے اپنے ملازمین کی موبائل اینڈ پوائنٹس تک رسائی پر تیزی سے انحصار کرتے ہیں، جس سے 0ktapus اداکاروں جیسے حملہ آوروں کے لیے ایک بھرپور، نیا فشنگ گراؤنڈ تیار ہوتا ہے، رچرڈ میلک کے مطابق، خطرے کی رپورٹنگ کے ڈائریکٹر۔ زیمپیریم۔
"فشنگ سے لے کر نیٹ ورک کے خطرات تک، نقصان دہ ایپلی کیشنز سے سمجھوتہ کرنے والے آلات تک، کاروباری اداروں کے لیے یہ تسلیم کرنا ضروری ہے کہ موبائل حملے کی سطح ان کے ڈیٹا اور رسائی کے لیے سب سے بڑا غیر محفوظ ویکٹر ہے،" انہوں نے ای میل کیے گئے بیان میں لکھا۔
