Щупальця групи загроз «0ktapus» стали жертвами 130 компаній

Цілеспрямовані атаки на співробітників Twilio і Cloudflare пов’язані з масштабною фішинговою кампанією, яка призвела до зламаного 9,931 облікового запису в понад 130 організаціях. Ці кампанії пов’язані з цілеспрямованим зловживанням фірмою керування ідентифікацією та доступом Okta, через що дослідники отримали псевдонім 0ktapus.

«Основною метою зловмисників було отримати ідентифікаційні дані Okta та коди багатофакторної автентифікації (MFA) від користувачів цільових організацій», — пишуть дослідники Group-IB. в останньому звіті. «Ці користувачі отримали текстові повідомлення з посиланнями на фішингові сайти, які імітували сторінку автентифікації Okta їхньої організації».

Постраждали 114 американських компаній, а додаткові жертви поширилися ще на 68 країн.

Роберто Мартінес, старший аналітик із аналізу загроз Group-IB, сказав, що масштаби атак досі невідомі. «Кампанія 0ktapus була неймовірно успішною, і повний її масштаб може бути невідомий протягом деякого часу», — сказав він.

Чого хотіли хакери 0ktapus

Вважається, що зловмисники 0ktapus почали свою кампанію з нападу на телекомунікаційні компанії в надії отримати доступ до телефонних номерів потенційних цілей.

Хоча невідомо, як саме зловмисники отримали список телефонних номерів, які використовувалися в атаках, пов’язаних із МЗС, одна з теорій дослідників полягає в тому, що зловмисники 0ktapus почали свою кампанію, націлену на телекомунікаційні компанії.

«Згідно зі скомпрометованими даними, проаналізованими Group-IB, зловмисники почали свої атаки, націлюючись на операторів мобільного зв’язку та телекомунікаційні компанії, і могли зібрати номери під час цих початкових атак», — пишуть дослідники.

Далі зловмисники надсилали цілям фішингові посилання за допомогою текстових повідомлень. Ці посилання ведуть на веб-сторінки, що імітують сторінку автентифікації Okta, яку використовує роботодавець цілі. Потім жертв попросили надати облікові дані Okta на додаток до кодів багатофакторної автентифікації (MFA), які співробітники використовували для захисту їхніх входів.

У супровідному технічний блог, дослідники Group-IB пояснюють, що початкові компроміси компаній, які переважно займаються програмним забезпеченням як послугою, були першою фазою багатосторонньої атаки. Кінцевою метою 0ktapus було отримати доступ до списків розсилки компаній або систем, орієнтованих на клієнтів, у надії сприяти атакам на ланцюги поставок.

Під час можливого пов’язаного інциденту, протягом декількох годин після того, як Group-IB опублікувала свій звіт наприкінці минулого тижня, фірма DoorDash виявила, що вона була ціллю атаки з усіма ознаками атаки у стилі 0ktapus.

Радіус вибуху: Атаки MFA

В блог DoorDash виявлено; «Неавторизована сторона використовувала вкрадені облікові дані співробітників постачальника, щоб отримати доступ до деяких наших внутрішніх інструментів». Згідно з повідомленням, зловмисники продовжували викрадати особисту інформацію, включаючи імена, номери телефонів, електронну пошту та адреси доставки, у клієнтів і кур'єрів.

У ході своєї кампанії зловмисник зламав 5,441 код MFA, повідомляє Group-IB.

«Заходи безпеки, такі як MFA, можуть здаватися безпечними… але очевидно, що зловмисники можуть подолати їх за допомогою відносно простих інструментів», — пишуть дослідники.

«Це ще одна фішингова атака, яка демонструє, як легко зловмисникам обійти нібито безпечну багатофакторну автентифікацію», — написав Роджер Граймс, проповідник захисту на основі даних у KnowBe4, у своїй заяві електронною поштою. «Переводити користувачів з паролів, які легко піддаються фішу, на MFA, які легко піддаються фішу, просто марно. Це багато важкої роботи, ресурсів, часу та грошей, щоб не отримати жодної вигоди».

Щоб пом’якшити кампанії в стилі 0ktapus, дослідники рекомендували дотримуватися гігієни навколо URL-адрес і паролів, а також використовувати FIDO2-сумісні ключі безпеки для MFA.

«Який би MFA хтось не використовував, — порадив Граймс, — користувача слід навчити типовим типам атак, які здійснюються проти його форми MFA, як розпізнати ці атаки та як на них реагувати. Ми робимо те саме, коли кажемо користувачам вибирати паролі, але не робимо цього, коли говоримо їм використовувати нібито більш безпечний MFA».