Τα πλοκάμια της Ομάδας Απειλής '0ktapus' Θυματίζουν 130 Επιχειρήσεις

Οι στοχευμένες επιθέσεις σε υπαλλήλους της Twilio και της Cloudflare συνδέονται με μια τεράστια εκστρατεία ηλεκτρονικού ψαρέματος που είχε ως αποτέλεσμα 9,931 λογαριασμούς σε πάνω από 130 οργανισμούς να παραβιαστούν. Οι καμπάνιες συνδέονται με την εστιασμένη κατάχρηση ταυτότητας και την εταιρεία διαχείρισης πρόσβασης Okta, η οποία απέκτησε στους ηθοποιούς απειλής το παρατσούκλι 0ktapus, από ερευνητές.

«Ο πρωταρχικός στόχος των φορέων απειλής ήταν να αποκτήσουν διαπιστευτήρια ταυτότητας Okta και κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) από χρήστες των στοχευόμενων οργανισμών», έγραψαν οι ερευνητές του Group-IB. σε μια πρόσφατη έκθεση. «Αυτοί οι χρήστες έλαβαν μηνύματα κειμένου που περιείχαν συνδέσμους προς ιστότοπους ηλεκτρονικού ψαρέματος που μιμούνταν τη σελίδα ελέγχου ταυτότητας Okta του οργανισμού τους».

Επηρέασαν 114 εταιρείες με έδρα τις ΗΠΑ, με πρόσθετα θύματα να πασπαλίζονται σε 68 επιπλέον χώρες.

Ο Roberto Martinez, ανώτερος αναλυτής πληροφοριών απειλών στο Group-IB, δήλωσε ότι το εύρος των επιθέσεων παραμένει άγνωστο. «Η εκστρατεία 0ktapus ήταν απίστευτα επιτυχημένη και η πλήρης κλίμακα της μπορεί να μην είναι γνωστή για κάποιο χρονικό διάστημα», είπε.

Τι ήθελαν οι χάκερ της 0ktapus

Οι επιτιθέμενοι του 0ktapus πιστεύεται ότι ξεκίνησαν την εκστρατεία τους στοχεύοντας εταιρείες τηλεπικοινωνιών με την ελπίδα να αποκτήσουν πρόσβαση στους αριθμούς τηλεφώνου των πιθανών στόχων.

Αν και δεν είναι σίγουροι πώς ακριβώς οι φορείς απειλών απέκτησαν μια λίστα με αριθμούς τηλεφώνου που χρησιμοποιούνται σε επιθέσεις που σχετίζονται με το MFA, μια θεωρία που υποστηρίζουν οι ερευνητές είναι ότι οι επιτιθέμενοι 0ktapus ξεκίνησαν την εκστρατεία τους στοχεύοντας εταιρείες τηλεπικοινωνιών.

«[A]σύμφωνα με τα παραβιασμένα δεδομένα που αναλύθηκαν από το Group-IB, οι παράγοντες απειλών ξεκίνησαν τις επιθέσεις τους στοχεύοντας εταιρείες κινητής τηλεφωνίας και εταιρείες τηλεπικοινωνιών και θα μπορούσαν να έχουν συλλέξει τους αριθμούς από αυτές τις αρχικές επιθέσεις», έγραψαν οι ερευνητές.

Στη συνέχεια, οι εισβολείς έστειλαν συνδέσμους phishing σε στόχους μέσω μηνυμάτων κειμένου. Αυτοί οι σύνδεσμοι οδήγησαν σε ιστοσελίδες που μιμούνται τη σελίδα ελέγχου ταυτότητας Okta που χρησιμοποιείται από τον εργοδότη του στόχου. Στη συνέχεια, ζητήθηκε από τα θύματα να υποβάλουν διαπιστευτήρια ταυτότητας Okta επιπλέον των κωδικών ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) που χρησιμοποιούσαν οι εργαζόμενοι για να εξασφαλίσουν τα στοιχεία σύνδεσής τους.

Σε συνοδευτικό τεχνικό ιστολόγιο, οι ερευνητές του Group-IB εξηγούν ότι οι αρχικοί συμβιβασμούς των εταιρειών ως επί το πλείστον λογισμικού ως υπηρεσίας ήταν η πρώτη φάση σε μια επίθεση πολλαπλών επιπέδων. Ο απώτερος στόχος της 0ktapus ήταν να αποκτήσει πρόσβαση σε λίστες αλληλογραφίας εταιρειών ή σε συστήματα που αντιμετωπίζουν πελάτες με την ελπίδα να διευκολύνει τις επιθέσεις στην αλυσίδα εφοδιασμού.

Σε ένα πιθανό σχετικό περιστατικό, μέσα σε λίγες ώρες από τη δημοσίευση της έκθεσής του Group-IB στα τέλη της περασμένης εβδομάδας, η εταιρεία DoorDash αποκάλυψε ότι στοχοποιήθηκε σε μια επίθεση με όλα τα χαρακτηριστικά μιας επίθεσης τύπου 0ktapus.

Ακτίνα έκρηξης: Επιθέσεις MFA

Σε ανάρτηση Το DoorDash αποκάλυψε. "Μη εξουσιοδοτημένο μέρος χρησιμοποίησε τα κλεμμένα διαπιστευτήρια υπαλλήλων πωλητών για να αποκτήσει πρόσβαση σε ορισμένα από τα εσωτερικά μας εργαλεία." Οι επιτιθέμενοι, σύμφωνα με την ανάρτηση, συνέχισαν να κλέβουν προσωπικές πληροφορίες – συμπεριλαμβανομένων ονομάτων, αριθμών τηλεφώνου, email και διευθύνσεων παράδοσης – από πελάτες και άτομα που παραδίδουν.

Κατά τη διάρκεια της εκστρατείας του, ο εισβολέας παραβίασε 5,441 κωδικούς MFA, ανέφερε το Group-IB.

«Τα μέτρα ασφαλείας όπως το MFA μπορεί να φαίνονται ασφαλή… αλλά είναι σαφές ότι οι επιτιθέμενοι μπορούν να τα ξεπεράσουν με σχετικά απλά εργαλεία», έγραψαν οι ερευνητές.

«Αυτή είναι μια ακόμη επίθεση phishing που δείχνει πόσο εύκολο είναι για τους αντιπάλους να παρακάμψουν τον υποτιθέμενο ασφαλή έλεγχο ταυτότητας πολλαπλών παραγόντων», έγραψε ο Roger Grimes, ευαγγελιστής άμυνας βάσει δεδομένων στο KnowBe4, σε μια δήλωση μέσω email. «Απλώς δεν κάνει καλό να μετακινούνται οι χρήστες από κωδικούς πρόσβασης με δυνατότητα phish σε MFA με δυνατότητα phish. Είναι πολύ σκληρή δουλειά, πόροι, χρόνος και χρήμα, για να μην έχεις κανένα όφελος».

Για τον μετριασμό των καμπανιών τύπου 0ktapus, οι ερευνητές συνέστησαν καλή υγιεινή γύρω από τις διευθύνσεις URL και τους κωδικούς πρόσβασης και τη χρήση FIDO2-συμβατά κλειδιά ασφαλείας για MFA.

«Όποια και αν είναι η MFA που χρησιμοποιεί κάποιος», συμβουλεύει ο Grimes, «ο χρήστης θα πρέπει να διδάσκεται για τους συνήθεις τύπους επιθέσεων που διαπράττονται κατά της μορφής MFA του, πώς να αναγνωρίζει αυτές τις επιθέσεις και πώς να αντιδρά. Κάνουμε το ίδιο όταν λέμε στους χρήστες να επιλέξουν κωδικούς πρόσβασης, αλλά όχι όταν τους λέμε να χρησιμοποιούν υποτιθέμενα πιο ασφαλή MFA».