Bu ayın başlarında Twilio’yu ihlal eden bilgisayar korsanları, 10.000’e yakın çalışanın kimlik bilgilerini netleştiren bilgisayar korsanlığı çılgınlığı sırasında 130’dan fazla kuruluşu da tehlikeye attı.
Twilio’nun son ağ saldırısı, bilgisayar korsanlarının, çalışanları kurumsal oturum açma kimlik bilgilerini ve SMS kimlik avı mesajlarından iki faktörlü kodları teslim etmeleri için kandırdıktan sonra, uçtan uca şifreli mesajlaşma uygulaması Signal dahil olmak üzere 125 Twilio müşterisinin ve şirketinin verilerine erişmesine izin verdi. Twilio’nun BT departmanından geliyor. O sırada TechCrunch, bir ABD internet şirketi, bir BT dış kaynak şirketi ve bir müşteri hizmetleri sağlayıcısı dahil olmak üzere diğer şirketlerin kimliğine bürünen kimlik avı sayfalarını öğrendi, ancak kampanyanın ölçeği belirsizliğini koruyor.
Şimdi, siber güvenlik şirketi Group-IB, Twilio’ya yapılan saldırının, bilgisayar korsanlarının ağırlıklı olarak Okta’yı tek oturum açma sağlayıcısı olarak kullanan kuruluşları nasıl hedeflediğini gösteren “0ktapus” adını verdiği bilgisayar korsanlığı grubunun daha geniş bir kampanyasının parçası olduğunu söylüyor.
Müşterilerinden birinin bağlantılı bir kimlik avı saldırısı tarafından hedef alınmasının ardından soruşturma başlatan Group-IB, TechCrunch ile paylaşılan bulgularda, hedeflenen şirketlerin büyük çoğunluğunun ABD merkezli veya ABD merkezli personele sahip olduğunu söyledi. Saldırganlar, Group-IB’nin bulgularına göre Mart ayından bu yana en az 9.931 kullanıcı kimlik bilgilerini çaldı ve yarısından fazlası bir şirketin ağına erişmek için kullanılan çok faktörlü kimlik doğrulama kodlarını içeriyor.
Group-IB’de kıdemli bir tehdit istihbarat analisti olan Roberto Martinez TechCrunch’a “Birçok durumda, aynı kimlik avı kitiyle tasarlanmış kimlik avı web sitelerini tanımlamak için kullanılabilecek kadar benzersiz görüntüler, yazı tipleri veya komut dosyaları vardır” dedi. “Bu durumda, kimlik avı kiti tarafından kullanılan Okta kimlik doğrulamasından yararlanan siteler tarafından yasal olarak kullanılan bir resim bulduk.”
“Kimlik avı kitinin bir kopyasını bulduktan sonra, tehdidi daha iyi anlamak için daha derine inmeye başladık. Kimlik avı kitinin analizi, kötü yapılandırıldığını ve geliştirilme şeklinin daha fazla analiz için çalınan kimlik bilgilerini çıkarma yeteneği sağladığını ortaya çıkardı, ”dedi Martinez.
Bilgisayar korsanlarının telefon numaralarını ve daha sonra SMS kimlik avı mesajları gönderilen çalışanların adlarını nasıl elde ettiği hala bilinmemekle birlikte, Group-IB, saldırganın önce mobil operatörleri ve telekomünikasyon şirketlerini hedef aldığını ve “bu ilk saldırılardan numaraları toplamış olabileceğini” belirtiyor. ”
Group-IB, kurumsal kurbanların hiçbirinin adını açıklamadı, ancak listenin çoğu BT, yazılım geliştirme ve bulut hizmetleri sağlayan “tanınmış kuruluşlar” içerdiğini söyledi. TechCrunch ile paylaşılan kurbanların dökümü, tehdit aktörlerinin finans sektöründeki 13 kuruluşu, yedi perakende devini ve iki video oyunu kuruluşunu da hedef aldığını gösteriyor.
Group-IB, soruşturması sırasında, bilgisayar korsanının kimlik avı kitindeki kodun, saldırganların güvenliği ihlal edilmiş verileri bırakmak için kullandığı Telegram botunun yapılandırma ayrıntılarını ortaya çıkardığını keşfetti. (Bulut parlaması ilk ortaya çıktı Hackerlar tarafından Telegram kullanımı.) Group-IB, GitHub ve Twitter tanıtıcıları Kuzey Carolina’da ikamet edebileceklerini gösteren “X” tanıtıcısını kullanan Telegram grubunun yöneticilerinden birini belirledi.
Group-IB, saldırıların önceden uçtan uca planlanıp planlanmadığını veya her aşamada fırsatçı eylemlerin gerçekleştirilip gerçekleştirilmediğini henüz net olmadığını söyledi. Şirket, “Her şeye rağmen, 0ktapus kampanyası inanılmaz derecede başarılı oldu ve bunun tam ölçeği bir süredir bilinmeyebilir” dedi.
Moskova merkezli startup Group-IB, Sachkov’un gizli bilgileri isimsiz bir yabancı hükümete aktardığı iddia edildikten sonra vatana ihanet suçlamasıyla Rusya’da gözaltına alındığı Eylül 2021’e kadar şirketin genel müdürü olan Ilya Sachkov tarafından ortak olarak kuruldu. O zamandan beri merkezini Singapur’a taşıyan Group-IB, kurucu ortağın masumiyetini koruyor.