Not: Bu hikaye, Okta baş güvenlik görevlisi David Bradbury’nin yorumlarını içerecek şekilde güncellendi.
Geçen haftaki MGM Resorts ve Caesars Entertainment siber saldırılarının arkasında olduğuna inanılan tehdit aktörleri, artık bir şekilde şirketin Okta platformuna, özellikle de bir kuruluşun Active Directory’sine bağlanan hafif istemci Okta Agent’a girerek MGM sistemlerini ihlal edebildiklerini söylüyor.
Okta, bulut için popüler bir kimlik ve erişim yönetimi (IAM) sağlayıcısıdır.
ALPHV, “MGM, Okta Agent sunucularında gizlendiğimizi ve parolaları etki alanı denetleyici karma dökümlerinden kırılamayan kişilerin parolalarını kokladığımızı öğrendikten sonra Okta Sync sunucularının her birini kapatma yönünde aceleci bir karar aldı.” Sızıntı sitesinde Emsisoft araştırmacısı Brett Callow’un yaptığı bir açıklamada şunları yazdı: tweet attı. “Bu, Okta’larının tamamen devre dışı kalmasına neden oldu.”
ALPHV açıklamasında, tehdit grubunun Okta’da bir gün boyunca gizlenip şifreleri topladıktan sonra 11 Eylül’de 1.000’den fazla ESXi hipervizörüne fidye yazılımı siber saldırıları başlattığı belirtildi: “… temasa geçmeye çalıştıktan sonra [with MGM] ancak başarısız oluyor” ifadesine yer verildi.
Fidye yazılımı grubu, MGM Resorts’un kendileriyle pazarlık yapmadığını ve mali bir düzenleme yapılmazsa daha fazla eylem tehdidinde bulunduğunu açıkça belirtti.
ALPHV açıklamasında “MGM’nin bazı altyapısına hâlâ erişmeye devam ediyoruz” denildi. “Anlaşmaya varılamazsa ek saldırılar gerçekleştireceğiz.” Grup ayrıca, sızdırdığı verileri Have I Been Pwned’den Troy Hunt’a açıklayacağını ve eğer bunu yapmayı seçerse sorumlu bir şekilde ifşa edeceğini söyledi.
ALPHV (aka BlackCat), Scattered Spider tehdit grubuna kumarhane siber saldırılarını gerçekleştirmek için kötü amaçlı yazılım ve destek hizmetleri sağlayan hizmet olarak fidye yazılımı (RaaS) operatörünün adıdır.
Okta’nın Sosyal Mühendislik Saldırılarına İlişkin Ağustos Uyarısı
Okta güvenlik şefi David Bradbury, MGM’ye yapılan siber saldırının sosyal mühendislik bileşenine sahip olduğunu doğruluyor, ancak bunun başarılı olduğunu çünkü tehdit aktörlerinin kendi kimlik sağlayıcılarını (IDP) ve kullanıcı veritabanlarını Okta sistemine yerleştirecek kadar gelişmiş olduklarını ekliyor.
“İnsan kısmı basitti ama saldırının sonraki kısmı karmaşıktı” diyor.
Bradbury, birden fazla kimlik alt grubu oluşturma yeteneğinin bir kusur değil, Okta sisteminin bir özelliği olduğunu ekliyor. Yardım masasına yalnızca en yüksek erişim ayrıcalıklarına sahip kullanıcılar için görsel bir doğrulama adımı eklenmesinin bu siber saldırıları durduracağını öne sürüyor.
Okta uyardı 31 Ağustos’ta Okta sistemlerine yönelik sosyal mühendislik yoluyla yüksek ayrıcalıklı erişim elde etme girişimlerini ayrıntılarıyla anlatan bir uyarı ile bu türden sosyal mühendislik saldırılarının potansiyeli hakkında bilgi verildi.
“Geçtiğimiz haftalarda, ABD merkezli çok sayıda Okta müşterisi, BT hizmet masası personeline yönelik tutarlı bir sosyal mühendislik saldırı modeli bildirdi; bu saldırılarda arayanın stratejisi, hizmet masası personelini kayıtlı tüm çok faktörlü kimlik doğrulama (MFA) faktörlerini sıfırlamaya ikna etmekti. Oldukça ayrıcalıklı kullanıcılar tarafından” diye uyardı Okta. “Saldırganlar daha sonra, ele geçirilen kuruluş içindeki kullanıcıların kimliğine bürünmelerine olanak tanıyan meşru kimlik federasyonu özelliklerini kötüye kullanmak için yüksek ayrıcalıklı Okta Süper Yönetici hesaplarının ele geçirilmesinden yararlandı.”
Okta ayrıca bu konuda oldukça kamuoyuna duyuruldu. MGM ile ilişkiWeb sitesine göre, “en iyi konuk deneyiminin yapı taşlarını” sağlamak için konaklama şirketiyle birlikte çalışıyor.
Bradbury, Okta’nın müdahale ve iyileştirme konusunda Caesars ve MGM ile çalışmaya devam edeceğini söyleyerek Okta’nın Caesars ihlalindeki rolünü de doğruladı.
Yeni MFA İstismar Dalgası Muhtemelen
Critical Start’ın tehdit araştırmalarından sorumlu kıdemli yöneticisi Callie Guenther’e göre bu, endişe verici bir şekilde yüksek ayrıcalıklı kullanıcıları hedef alan yeni bir siber saldırı dalgasının ilki olabilir. Sonuçta Okta, siber suç aktörleri arasında zaten popüler bir hedef.
Günther, “Okta, birçok kuruluşun IAM stratejilerindeki merkezi konumu göz önüne alındığında doğal olarak çekici bir hedeftir” diyor. “Önemli olan bu sistemleri doğası gereği kusurlu olarak görmek değil, sağlam güvenlik hijyeninin, sürekli izlemenin ve tehdit istihbaratının hızlı paylaşımının önemini anlamaktır.”
Yardım masası siber güvenlik araçları sağlayıcısı Nametag’ın CEO’su Aaron Painter’a göre asıl sorun Okta’nın kendisi değil. Daha ziyade, MFA’nın insanlardan ziyade cihazları tanımlamak için tasarlanmış olduğu gerçeğidir.
Painter, “Bu güvenlik açığı MGM’ye veya Okta’ya özgü değil; çok faktörlü kimlik doğrulamayla ilgili sistemik bir sorun” diyor. “MFA, insanları değil cihazları doğruluyor. Güvenli kayıt ve kurtarmadan yoksun; hangi insanın kimliğinin doğrulandığını bilmeniz gereken iki an. Bu, MFA’nın çözmek için tasarlanmadığı bilinen bir sorun.”
Bu gelişmekte olan bir hikaye.
