Ağustos ayının başlarında Twilio ve Cloudflare’i ihlal eden bilgisayar korsanları, aynı kampanyada 130’dan fazla başka kuruluşa da sızarak yaklaşık 10.000 Okta ve iki faktörlü kimlik doğrulama (2FA) kimlik bilgilerini boşalttı.
Bu, Group-IB’nin 0ktapus adını verdiği büyük bir kimlik avı kampanyasında hedef alınanlar arasında birkaç tanınmış kuruluşun bulunduğunu tespit eden bir araştırmaya göre. Kullanıcıların parolalarını sıfırlamak için ihtiyaç duyduğu sahte bildirimler gibi cazibeler basitti. Her bir belirli kuruluşun Okta kimlik doğrulama sayfasını yansıtan statik kimlik avı sitelerine bağlantılar içeren metinler aracılığıyla gönderildiler.
“Düşük becerili yöntemler kullanılmasına rağmen, [the group] çok sayıda tanınmış kuruluşu tehlikeye atmayı başardı” dedi. bugün blog yazısı. “Ayrıca, saldırganlar bir organizasyonu tehlikeye attıktan sonra, hızlı bir şekilde sonraki tedarik zinciri saldırılarını başlatabildiler ve bu da saldırının önceden dikkatlice planlandığını gösteriyor.”
olayda böyleydi Twilio ihlali Bu olay 4 Ağustos’ta gerçekleşti. Saldırganlar, birkaç çalışanın kurum genelinde tek oturum açma için kullanılan Okta kimlik bilgilerini teslim etmeleri için sosyal mühendislik yaparak dahili sistemlere, uygulamalara ve müşteri verilerine erişmelerini sağladı. İhlal, Twilio’nun telefon doğrulamasını ve diğer servislerini kullanan yaklaşık 25 alt kuruluşu etkiledi. Bir deyim olayda yaklaşık 1.900 kullanıcının telefon numaralarının çalınmış olabileceğini doğruladı.
Hedeflenen 130 şirketin çoğunluğu ABD’deki SaaS ve yazılım şirketleriydi – saldırının tedarik zinciri doğası göz önüne alındığında şaşırtıcı değil.
Örneğin, kampanyadaki ek kurbanlar arasında e-posta pazarlama şirketleri Klaviyo ve posta çipi. Her iki durumda da dolandırıcılar, Mailchimp müşterisi DigitalOcean da dahil olmak üzere kripto para birimiyle ilgili müşterilerinin adlarını, adreslerini, e-postalarını ve telefon numaralarını aldılar. sağlayıcıyı düşürdü).
İçinde Cloudflare davasıbazı çalışanlar hileye düştü, ancak tüm dahili uygulamalara erişmesi gereken her çalışana verilen fiziksel güvenlik anahtarları sayesinde saldırı engellendi.
Grip Security CEO’su ve kurucu ortağı Lior Yaari, Grup IB’nin bulgularının ötesinde ihlalin kapsamı ve nedeninin hala bilinmediğini, bu nedenle ek kurbanların ortaya çıkabileceğini belirtiyor.
“Bir SaaS uygulamasının tüm kullanıcılarını belirlemek, bir güvenlik ekibi için her zaman kolay değildir, özellikle de kullanıcıların kendi oturum açma bilgilerini ve şifrelerini kullandıkları yerlerde” diye uyarıyor. “Shadow SaaS keşfi basit bir sorun değil, ancak gölge SaaS için kullanıcı parolalarını keşfedip sıfırlayabilecek çözümler var.”
IAM’yi Yeniden Düşünme Zamanı mı?
Genel olarak, kampanyanın başarısı, sosyal mühendisliği tespit etmek için insanlara güvenmenin sıkıntısını ve mevcut kimlik ve erişim yönetimi (IAM) yaklaşımlarındaki boşlukları gösteriyor.
Yaari, “Saldırı, bugün IAM’nin ne kadar kırılgan olduğunu ve endüstrinin neden sosyal mühendislik ve karmaşık kimlik avı saldırılarına açık olan çalışanlardan oturum açma ve parola yükünü kaldırmayı düşünmesi gerektiğini gösteriyor” diyor. “Şirketlerin yapabileceği en iyi proaktif düzeltme çabası, kullanıcıların tüm şifrelerini, özellikle Okta’yı sıfırlamasını sağlamaktır.”
Tehdit raporlama direktörü Richard Melick’e göre, olay aynı zamanda işletmelerin modern dağıtılmış işgücünde üretken olmak için çalışanlarının mobil uç noktalara erişimlerine giderek daha fazla güvendiğini ve 0ktapus aktörleri gibi saldırganlar için zengin, yeni bir kimlik avı alanı oluşturduğunu gösteriyor. Zimperyum.
E-postayla gönderilen bir açıklamada, “Kimlik avından ağ tehditlerine, kötü niyetli uygulamalardan güvenliği ihlal edilmiş cihazlara kadar, kuruluşların mobil saldırı yüzeyinin verilerine ve erişimlerine yönelik en büyük korumasız vektör olduğunu kabul etmeleri kritik önem taşıyor” diye yazdı.