'0ktapus' تھریٹ گروپ کے ٹینٹیکلز 130 فرموں کو متاثر کرتے ہیں۔

Twilio اور Cloudflare کے ملازمین پر ٹارگٹڈ حملے ایک بڑے فشنگ مہم سے منسلک ہیں جس کے نتیجے میں 9,931 سے ​​زیادہ تنظیموں کے 130 اکاؤنٹس سے سمجھوتہ کیا گیا ہے۔ مہمات شناخت اور رسائی کے انتظامی فرم Okta کے مرکوز غلط استعمال سے منسلک ہیں، جس نے محققین کے ذریعہ 0ktapus مانیکر کو خطرہ بننے والے اداکاروں کو حاصل کیا۔

گروپ-آئی بی کے محققین نے لکھا، "خطرہ کرنے والے اداکاروں کا بنیادی ہدف ہدف شدہ تنظیموں کے صارفین سے اوکٹا شناختی اسناد اور ملٹی فیکٹر توثیق (MFA) کوڈز حاصل کرنا تھا۔" ایک حالیہ رپورٹ میں. "ان صارفین کو ایسے ٹیکسٹ پیغامات موصول ہوئے جن میں فشنگ سائٹس کے لنکس تھے جنہوں نے ان کی تنظیم کے Okta تصدیقی صفحہ کی نقل کی تھی۔"

امریکہ میں مقیم 114 فرمیں متاثر ہوئیں، 68 اضافی ممالک میں چھڑکنے والے اضافی متاثرین کے ساتھ۔

گروپ-آئی بی کے سینئر تھریٹ انٹیلی جنس تجزیہ کار رابرٹو مارٹینز نے کہا کہ حملوں کا دائرہ کار ابھی تک نامعلوم ہے۔ "0ktapus مہم ناقابل یقین حد تک کامیاب رہی ہے، اور اس کا مکمل پیمانہ کچھ عرصے تک معلوم نہیں ہو سکتا،" انہوں نے کہا۔

0ktapus ہیکرز کیا چاہتے تھے۔

خیال کیا جاتا ہے کہ 0ktapus حملہ آوروں نے ممکنہ اہداف کے فون نمبرز تک رسائی حاصل کرنے کی امید میں ٹیلی کمیونیکیشن کمپنیوں کو نشانہ بنا کر اپنی مہم شروع کی تھی۔

اگرچہ اس بات کا یقین نہیں ہے کہ دھمکی دینے والے اداکاروں نے ایم ایف اے سے متعلق حملوں میں استعمال ہونے والے فون نمبروں کی فہرست کیسے حاصل کی، ایک نظریہ محققین کا خیال ہے کہ 0کٹاپس حملہ آوروں نے ٹیلی کمیونیکیشن کمپنیوں کو نشانہ بناتے ہوئے اپنی مہم شروع کی۔

"[A] گروپ-IB کے تجزیہ کردہ سمجھوتہ شدہ ڈیٹا کے مطابق، دھمکی دینے والے اداکاروں نے موبائل آپریٹرز اور ٹیلی کمیونیکیشن کمپنیوں کو نشانہ بنا کر اپنے حملے شروع کیے اور وہ ان ابتدائی حملوں سے نمبر اکٹھے کر سکتے تھے،" محققین نے لکھا۔

اس کے بعد، حملہ آوروں نے ٹیکسٹ پیغامات کے ذریعے اہداف کو فشنگ لنکس بھیجے۔ ان لنکس کی وجہ سے ٹارگٹ کے آجر کے ذریعے استعمال ہونے والے Okta تصدیقی صفحہ کی نقل کرنے والے ویب صفحات بنے۔ اس کے بعد متاثرین سے کہا گیا کہ وہ Okta شناختی اسناد کے علاوہ ملٹی فیکٹر توثیق (MFA) کوڈز جمع کرائیں جو ملازمین اپنے لاگ ان کو محفوظ بنانے کے لیے استعمال کرتے تھے۔

ایک ساتھ میں تکنیکی بلاگ، گروپ-آئی بی کے محققین نے وضاحت کی ہے کہ زیادہ تر سافٹ ویئر کے طور پر ایک سروس فرموں کے ابتدائی سمجھوتے ایک کثیر جہتی حملے میں ایک مرحلہ تھا۔ 0ktapus کا حتمی مقصد سپلائی چین حملوں کی سہولت کی امید میں کمپنی کی میلنگ لسٹوں یا کسٹمر کا سامنا کرنے والے سسٹم تک رسائی حاصل کرنا تھا۔

ایک ممکنہ متعلقہ واقعے میں، گزشتہ ہفتے کے آخر میں گروپ-آئی بی نے اپنی رپورٹ شائع کرنے کے چند گھنٹوں کے اندر، فرم DoorDash نے انکشاف کیا کہ اسے 0ktapus طرز کے حملے کے تمام نشانات کے ساتھ ایک حملے میں نشانہ بنایا گیا تھا۔

دھماکے کا رداس: ایم ایف اے حملے

ایک بلاگ پوسٹ ڈور ڈیش کا انکشاف؛ "غیر مجاز پارٹی نے ہمارے کچھ اندرونی ٹولز تک رسائی حاصل کرنے کے لیے وینڈر ملازمین کی چوری شدہ اسناد کا استعمال کیا۔" پوسٹ کے مطابق حملہ آوروں نے صارفین اور ڈیلیوری کرنے والوں سے ذاتی معلومات بشمول نام، فون نمبر، ای میل اور ڈیلیوری ایڈریسز چوری کیے۔

گروپ-آئی بی نے رپورٹ کیا کہ اپنی مہم کے دوران، حملہ آور نے 5,441 MFA کوڈز سے سمجھوتہ کیا۔

"ایم ایف اے جیسے حفاظتی اقدامات محفوظ دکھائی دے سکتے ہیں… لیکن یہ واضح ہے کہ حملہ آور نسبتاً آسان ٹولز سے ان پر قابو پا سکتے ہیں،" محققین نے لکھا۔

KnowBe4 کے ڈیٹا سے چلنے والے دفاعی مبشر راجر گرائمز نے ای میل کے ذریعے ایک بیان میں لکھا، "یہ ایک اور فشنگ حملہ ہے جس سے ظاہر ہوتا ہے کہ مخالفین کے لیے قیاس سے محفوظ ملٹی فیکٹر تصدیق کو نظرانداز کرنا کتنا آسان ہے۔" "صارفین کو آسانی سے فش کے قابل پاس ورڈز سے آسانی سے فش کے قابل MFA میں منتقل کرنا کوئی اچھا نہیں ہے۔ یہ بہت محنت، وسائل، وقت اور پیسہ ہے، کوئی فائدہ حاصل کرنے کے لیے نہیں۔‘‘

0ktapus طرز کی مہمات کو کم کرنے کے لیے، محققین نے URLs اور پاس ورڈز کے ارد گرد اچھی حفظان صحت کی سفارش کی، اور FIDO2-ایم ایف اے کے لیے مطابقت پذیر سیکیورٹی کیز۔

"کوئی جو بھی MFA استعمال کرتا ہے،" گرائمز نے مشورہ دیا، "صارف کو ان حملوں کی عام اقسام کے بارے میں سکھایا جانا چاہیے جو ان کی MFA کی شکل کے خلاف کیے جاتے ہیں، ان حملوں کو کیسے پہچانا جائے، اور کیسے جواب دیا جائے۔ ہم ایسا ہی کرتے ہیں جب ہم صارفین کو پاس ورڈ چننے کے لیے کہتے ہیں لیکن جب ہم انہیں زیادہ محفوظ MFA استعمال کرنے کو کہتے ہیں تو نہیں کرتے۔