Büyük Bir Hacking Kampanyası 130 Farklı Kuruluştan 10.000 Giriş Bilgisi Çaldı başlıklı makale için resim

Araştırmacılar, gizemli bir “tehdit aktörünün” (bir bilgisayar korsanı veya bilgisayar korsanı grubu için süslü bir terim) 130 kuruluşun çalışanlarından yaklaşık 10.000 oturum açma bilgilerini çalmayı başardığını söylüyor. kurumsal Amerika’ya yönelik en son geniş kapsamlı tedarik zinciri saldırısı. Kimlik doğrulaması ile başladı ve şifre yönetim aracı Okta, Perşembe günü yayınlanan rapora göre. bilgisayar korsanlığı kampanya olabilirdi sürdü aylar.

Haber geliyor Araştırma tarafından yapılan Bir müşteriye kimlik avı yapıldıktan ve ulaşıldıktan sonra bilgisayar korsanlığı kampanyasını araştırmaya başlayan siber güvenlik firması Group-IB yardım için dışarı. Araştırma, araştırmacıların “0” olarak adlandırdığı kampanyanın arkasındaki tehdit aktörününktapus”, tanınmış şirketlerin kalabalığından çalışanları hedef almak için temel taktikler kullandı. hacker(lar) çalıntı kullanır giriş bilgileri kurumsal ağlara erişmek için veri çalmaya devam etmeden ve ardından başka bir şirketin ağına girmeden önce. Kurbanların çoğu, Twilio, MailChimp, Cloudflare ve diğerleri gibi firmalar da dahil olmak üzere önde gelen yazılım şirketleri. Twilio kullanan yaklaşık 125 Twilio şirketinin verileri tehlikeye girdi.

Araştırmacılar Perşembe günkü bloglarında, “Bu vaka ilgi çekici çünkü düşük beceri yöntemlerini kullanmasına rağmen çok sayıda tanınmış kuruluşu tehlikeye atmayı başardı” dedi. “Ayrıca, saldırganlar bir organizasyonun güvenliğini ihlal ettiğinde, hızlı bir şekilde kendi ekseni etrafında dönerek sonraki tedarik zinciri saldırılarını başlatabildiler, bu da saldırının önceden dikkatlice planlandığını gösteriyor.”

Hacking Kampanyası Nasıl Çalıştı?

Ne yazık ki, bu tamamen yabancı bir hikaye değil. bir oldu tatlı zorlu kurumsal için birkaç yıl siber güvenlikşu soruya ilham verecek kadar sert: bluechip teknoloji şirketleri kendilerini korumakta tamamen berbat mı? veya bilgisayar korsanları tutar mı şanslı oluyorya da her ikisi de? ilk kez bile değil Okta bu yıl hacklendi. Her iki şekilde de kesin olarak söyleyemesek de, ne dır-dir diğer pek çok kampanya gibi “0ktapus” kampanyasının son hack bölümleritemel ağları kullanarak çok çeşitli kurumsal ağlardan ödün vermede oldukça başarılıydı. izinsiz giriş teknikleri.

Araştırmacılar, bilgisayar korsanlarının, ihlal etmek istedikleri şirketlerin çalışanlarını hedef almak için oldukça standart bir araç olan bir kimlik avı araç seti kullandığını söylüyor. Bu tür kitler, önceden paketlenmiş hack araçlarıdır. satın alınabilir-genellikle oldukça düşük fiyatlar– karanlık ağda. Bu durumda, hackerlar önce kullanan şirketlerin peşine düştü oktasağlayan kimlik ve erişim yönetimi firması tek seferlik tüm web’deki platformlara hizmetler. Tehdit aktörü, araç setini kullanarak kurbanlara Okta tarafından sağlanan kimlik doğrulama sayfalarına benzeyecek şekilde tasarlanmış SMS kimlik avı mesajları gönderdi. Normal bir güvenlik prosedürü uyguladıklarını düşünen kurbanlar, kullanıcı adı, şifre ve çok faktörlü kimlik doğrulama kodu dahil bilgilerini girerdi.

Bu bilgileri girdikten sonra, veriler gizlice siber suçlular tarafından kontrol edilen bir Telegram hesabına aktarıldı. Oradan, tehdit aktörü, kurbanların eriştiği kuruluşlara giriş yapmak için Okta kimlik bilgilerini kullanabilir. için çalıştı. Ağ erişimi daha sonra şirket verilerini çalmak ve şirketlerin parçası olduğu daha geniş kurumsal ekosistemleri hedef alan daha karmaşık tedarik zinciri saldırılarına girişmek için kötüye kullanıldı.

Bilgisayar korsanlarının veya bilgisayar korsanlarının, hedefledikleri personelin telefon numaralarına başlangıçta nasıl erişim sağladıkları tam olarak açık değildir, ancak bu tür bilgiler bazen önceki veri ihlallerinden ayıklanabilir veya dark web’den satın alınabilir.

Hacking Kampanyasının Arkasında Kim Var?

Group-IB araştırmacıları, gerçekleri ortaya çıkardıklarına inanıyorlar. Kimlik kimlik avı kampanyasıyla potansiyel olarak bağlantılı bir kişinin. Araştırmacılar, Group-IB’nin kendi özel araçlarını kullanarak, kampanyayla ilişkili bir bilgisayar korsanıyla bağlantılı olabilecek Twitter ve Github hesaplarını takip edebildiler. Bu kişi “X” kullanıcı adını kullanıyor ve siber suçlular tarafından yaygın olarak kullanılan Telegram kanallarında aktif oldukları biliniyor. Araştırmacılar, her iki hesabın da aynı kullanıcı adını ve profil resmini paylaştığını ve her ikisinin de kullanıcının 22 yaşında bir yazılım geliştiricisi olduğunu iddia ettiğini söyledi. Araştırmacılar, Github hesabının kullanıcının Kuzey Carolina’da olduğunu öne sürüyor.

Grup-IB, bilgisayar korsanlığı kampanyasında kullanılan taktik ve tekniklerin ek analizini sağlasa da, Konu X’in kimliğini yayınlamadı. Araştırmacılar, soruşturma sırasında ortaya çıkan bağlam ipuçları “saldırganın deneyimsiz olduğunu gösterebilir” diye yazıyor, ancak kampanyadan sorumlu olan kişinin hedeflerini vurma konusunda oldukça iyi bir iş çıkardığını da belirtiyorlar. Raporda şunlar belirtiliyor:

“Tehdit aktörünün saldırılarında şanslı olması mümkün olsa da, yukarıda özetlenen karmaşık tedarik zinciri saldırılarını başlatmak için saldırılarını dikkatli bir şekilde tasarlamış olmaları çok daha olasıdır. Saldırıların önceden uçtan uca planlanıp planlanmadığı veya her aşamada fırsatçı eylemlerde bulunulup bulunulmadığı henüz netlik kazanmadı. Ne olursa olsun, saldırının inanılmaz derecede başarılı olduğu ve saldırının tam ölçeğinin bir süre bilinmeyebileceği açık.”

Kimlik avı araç setini kullanmak için sertleştirilmiş siber suçlu olmanız gerekmez. Gerçekten de, siber suç ekonomisinin yolu yapılandırılmış bugün, teknik olarak en deneyimsiz web kullanıcılarının bile, güçlü bilgisayar korsanlığı araçları edinmesine izin veriyor. çok fazla hasara neden olmak. Bu talihsiz bir durum, ancak bir web sitesini çökertebilecek veya birinin MFA kodlarını çalabilecek bir siber silah satın almak istiyorsanız, genellikle ihtiyacınız olan tek şey bir VPN, biraz kripto ve vicdan eksikliğidir.

Sinyal ve Diğerleri Hacklendi

Yine de yapmıyoruz bu kimlik avı kampanyasından kimin sorumlu olduğunu bilin, ne dır-dir bir karışıklık yarattıkları açık. hakkında korkunç bir şey tedarik zinciri saldırıları basamaklı bir etkiye sahip olma eğiliminde olmalarıdır. Yazılım endüstrisinin gidişatından dolayı yapılandırılmış bugün (düşün: bir ağ kurumsal sistemlerin her bir teknoloji şirketinin dış kaynaklar bazıları veya çoğu BT süreçleri başka bir şirkete), bir işletmeye izinsiz giriş bazen düzinelerce (veya yüzlerce) diğerleri. Konuyla ilgili örnek: Şimdi yavaş bir damlama yapan firmaların veri ihlallerini açıkladığını görüyoruz. bu hack olayı ve bitmesi pek olası değil.

Son zamanlarda, yemek dağıtım uygulaması DoorDash ilan edildi Perşembe günü bir veri ihlali gerçekleşti. İçinde Blog yazısışirket, siber suçluların üçüncü taraf satıcılarından birini kimlik avı yaparak potansiyel olarak belirli kurumsal bilgileri ve ayrıca açıklanmayan sayıda uygulama kullanıcısının adları, e-posta adresleri, teslimat adresleri ve telefon numaraları dahil müşteri bilgileri.

Bu arada, Twilio kesmek– yaygın olarak kullanılan bir iletişim sağlayıcısı – hizmetlerini kullanan bir dizi şirket için güvenlik sorunlarına yol açtı. Twilio, olay nedeniyle 125 kadar müşterinin verilerinin potansiyel olarak ifşa edildiğini kabul etti. En belirgin şekilde, hack bir güvenlik ihlali şifreli sohbet uygulaması için sinyal. Telefon numarası doğrulama hizmetleri için Twilio’yu kullanan Signal, 1.900 kullanıcı hesabını kısmen gördü etkilenen—Kullanıcı verilerini güvende tutmakla övünen bir şirket için oldukça talihsiz bir olay. Tehdit aktörünün Signal konuşmalarına ve kullanıcı verilerine erişmeye çalıştığı anlaşılıyor, ancak Signal mesaj geçmişinin ve diğer hassas bilgilerin olaydan etkilenmediğini vurguladı.

Aynı zamanda diğer şirketler haber bülteni sağlayıcısı MailChimp gibi Nisan ayında hacklendi, Görünüşe göre kripto para birimi firmalarıyla ilişkili kullanıcılar hakkında bilgi almak için çıkarıldı. Varsayımsal olarak, bu tür bilgiler, ek kimlik avı dolandırıcılığı ile kripto kullanıcılarını hedeflemek için kullanılabilir.

verilen numara Bu fiyaskonun tuzağına düşen şirketler arasında, hackleme kampanyası hakkında duyacağımız son haberin bu olması pek olası değil. Araştırmacılar, “Grup-IB’nin siber suçla mücadele misyonuna uygun olarak, bu kimlik avı aktörleri tarafından kullanılan yöntemleri, araçları ve taktikleri keşfetmeye devam edeceğiz” dedi. yazdı. “Ayrıca dünya çapında hedeflenen kuruluşları bilgilendirmeye ve uyarmaya devam edeceğiz.”



genel-7