La société de développement de logiciels Retool a révélé que les comptes de 27 de ses clients cloud ont été compromis à la suite d’une attaque d’ingénierie sociale ciblée et basée sur SMS.
La société basée à San Francisco a accusé un Fonctionnalité de synchronisation cloud du compte Google récemment introduit en avril 2023 pour avoir aggravé la brèche, la qualifiant de « modèle sombre ».
« Le fait que Google Authenticator se synchronise avec le cloud constitue un nouveau vecteur d’attaque », a déclaré Snir Kodesh, responsable de l’ingénierie chez Retool. dit. « Ce que nous avions initialement mis en œuvre était une authentification multifacteur. Mais grâce à cette mise à jour de Google, ce qui était auparavant une authentification multifacteur est devenue silencieusement (pour les administrateurs) une authentification à un seul facteur. »
Retool a déclaré que l’incident, survenu le 27 août 2023, n’a pas permis un accès non autorisé aux comptes sur site ou gérés. Cela a également coïncidé avec la migration de l’entreprise vers Okta.
Tout a commencé par une attaque de phishing par SMS visant ses employés, dans laquelle les auteurs de la menace se sont fait passer pour un membre de l’équipe informatique et ont demandé aux destinataires de cliquer sur un lien apparemment légitime pour résoudre un problème lié à la paie.
Un employé est tombé dans le piège du phishing, ce qui l’a conduit à une fausse page de destination qui l’a incité à fournir ses informations d’identification. Lors de l’étape suivante de l’attaque, les pirates ont appelé l’employé, se faisant à nouveau passer pour un membre de l’équipe informatique, en falsifiant sa « vraie voix » pour obtenir le code d’authentification multifacteur (MFA).
« Le jeton OTP supplémentaire partagé lors de l’appel était essentiel, car il permettait à l’attaquant d’ajouter son propre appareil personnel au compte Okta de l’employé, ce qui lui permettait de créer son propre MFA Okta à partir de ce moment-là », a déclaré Kodesh. « Cela leur a permis de disposer d’un compte G Suite actif [now Google Workspace] session sur cet appareil. »
Le fait que l’employé ait également activé la fonctionnalité de synchronisation dans le cloud de Google Authenticator a permis aux acteurs malveillants d’obtenir un accès privilégié à ses systèmes d’administration internes et de prendre effectivement le contrôle des comptes appartenant à 27 clients du secteur de la cryptographie.
Les attaquants ont finalement modifié les adresses e-mail de ces utilisateurs et réinitialisé leurs mots de passe. Fortress Trust, l’un des utilisateurs concernés, a vu près de 15 millions de dollars de crypto-monnaie volés à la suite du piratage, CoinDesk signalé.
« Parce que le contrôle du compte Okta a conduit au contrôle du compte Google, ce qui a conduit au contrôle de tous les OTP stockés dans Google Authenticator », a souligné Kodesh.
Au contraire, l’attaque sophistiquée montre que la synchronisation de codes à usage unique avec le cloud peut briser le facteur « quelque chose que l’utilisateur possède », obligeant les utilisateurs à s’appuyer sur des clés de sécurité matérielles ou des mots de passe conformes à la norme FIDO2 pour vaincre les attaques de phishing.
Bien que l’identité exacte des pirates n’ait pas été révélée, leur mode opératoire présente des similitudes avec celui d’un acteur malveillant motivé par des raisons financières, suivi sous le nom de Scattered Spider (alias UNC3944), connu pour ses tactiques de phishing sophistiquées.
L’identité est le nouveau point de terminaison : maîtriser la sécurité SaaS à l’ère moderne
Plongez dans l’avenir de la sécurité SaaS avec Maor Bin, PDG d’Adaptive Shield. Découvrez pourquoi l’identité est le nouveau point final. Réservez votre place maintenant.
« Sur la base de l’analyse des domaines de phishing UNC3944 suspectés, il est plausible que les auteurs de la menace aient, dans certains cas, utilisé l’accès aux environnements des victimes pour obtenir des informations sur les systèmes internes et exploité ces informations pour faciliter des campagnes de phishing plus adaptées », a révélé Mandiant la semaine dernière. .
« Par exemple, dans certains cas, les auteurs de la menace semblaient créer de nouveaux domaines de phishing incluant les noms de systèmes internes. »
L’utilisation de deepfakes et de médias synthétiques a également fait l’objet d’une nouvel avis du gouvernement américain, qui a averti que les deepfakes audio, vidéo et textuels peuvent être utilisés à des fins malveillantes, notamment des attaques de compromission de courrier électronique professionnel (BEC) et des escroqueries liées aux cryptomonnaies.