Kompanija za razvoj softvera Retool otkrila je da su računi 27 njenih klijenata u oblaku kompromitovani nakon ciljanog napada društvenog inženjeringa zasnovanog na SMS-u.
Kompanija sa sjedištem u San Francisku okrivila je funkciju sinhronizacije Google računa u oblaku koja je nedavno uvedena u aprilu 2023. za pogoršanje proboja, nazvavši je “tamnim uzorkom”.
“Činjenica da se Google Authenticator sinhronizuje sa cloudom je novi vektor napada,” rekao je Snir Kodesh, Retool-ov šef inženjeringa . “Ono što smo prvobitno implementirali bila je višefaktorska autentikacija. Ali kroz ovo ažuriranje Google-a, ono što je ranije bilo višefaktorska autentikacija je tiho (za administratore) postalo jednofaktorska autentikacija.”
Retool je rekao da incident, koji se dogodio 27. avgusta 2023. godine, nije omogućio neovlašteni pristup on-prem ili upravljanim nalozima. To se također poklopilo s migriranjem prijava kompanije na Oktu.
Sve je počelo SMS phishing napadom usmjerenim na njegove zaposlenike, u kojem su se hakeri maskirali u članove IT tima i uputili primaoce da kliknu na naizgled legitiman link kako bi se pozabavili pitanjem vezanim za plate.
Jedan zaposlenik nasjeo je na phishing zamku, koja ih je dovela do lažne odredišne stranice koja ih je navela da predaju svoje kredencijale. U sljedećoj fazi napada, hakeri su pozvali zaposlenika, ponovo se predstavljajući kao osoba iz IT tima tako što su duboko lažirali njihov “stvarni glas” kako bi dobili kod za višefaktorsku autentifikaciju (MFA).
“Dodatni OTP token koji je podijeljen tokom poziva bio je kritičan, jer je omogućio hakeru da doda svoj osobni uređaj na Okta račun zaposlenika, što im je omogućilo da od tog trenutka proizvedu vlastiti Okta MFA”, rekao je Kodesh. “Ovo im je omogućilo da imaju aktivnu G Suite [sada Google Workspace] sesiju na tom uređaju.”
Činjenica da je zaposlenik također aktivirao funkciju sinhronizacije u oblaku Google Authenticator-a omogućila je hakerima da dobiju povećani pristup njegovim internim administrativnim sistemima i efektivno preuzmu naloge 27 klijenata u kripto industriji.
Napadači su na kraju promijenili emailove za te korisnike i resetovali njihove lozinke. Fortress Trust, jedan od pogođenih korisnika, vidio je ukradenu kriptovalutu u vrijednosti od blizu 15 miliona dolara kao rezultat hakovanja, izvijestio je CoinDesk.
„Zato što je kontrola Okta naloga dovela do kontrole Google naloga, što je dovelo do kontrole svih OTP-ova pohranjenih u Google Authenticator-u“, istakao je Kodesh.
Ako ništa drugo, sofisticirani napad pokazuje da sinhronizacija jednokratnih kodova sa oblakom može razbiti faktor “nešto što korisnik ima”, što zahtijeva da se korisnici oslanjaju na FIDO2 kompatibilne hardverske sigurnosne ključeve ili pristupne ključeve kako bi porazili phishing napade.
Iako tačan identitet hakera nije otkriven, modus operandi pokazuje sličnosti s onim finansijski motiviranog hakera praćenog kao Scattered Spider (aka UNC3944), koji je poznat po svojim sofistikovanim taktikama phishinga.
“Na osnovu analize sumnjivih domena za krađu identiteta UNC3944, moguće je da su hakeri, u nekim slučajevima, koristili pristup okruženjima žrtava kako bi dobili informacije o internim sistemima i iskoristili te informacije kako bi dodatno prilagodili phishing kampanje”, otkrio je Mandiant prošle sedmice .
“Na primjer, u nekim slučajevima činilo se da su hakeri kreirali nove phishing domene koje su uključivale imena internih sistema.”
Upotreba deepfakesa i sintetičkih medija također je bila predmet novog savjeta američke vlade, koja je upozorila da se audio, video i tekstualni deepfakes mogu koristiti za širok spektar zlonamjernih svrha, uključujući napade kompromitacije poslovne e-pošte (BEC) i prevare s kriptovalutama.
Izvor: The Hacker News