Siber güvenlik araştırmacıları, Twilio ve Cloudflare çalışanlarını hedef alan büyük bir phishing kampanyasının ardında '0ktapus' adlı tehdit grubunun olduğunu ortaya çıkardı. Group-IB tarafından yayımlanan rapora göre, saldırganlar 130'dan fazla kuruluşta 9.931 hesabı ele geçirdi. Kampanya, kimlik ve erişim yönetimi firması Okta'nın kötüye kullanılmasına odaklandı ve bu nedenle araştırmacılar gruba '0ktapus' adını verdi. Saldırganların temel hedefi, hedef kuruluşların kullanıcılarından Okta kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını elde etmekti.
Group-IB raporunda, saldırganların öncelikle telekomünikasyon şirketlerini hedef alarak potansiyel kurbanların telefon numaralarına erişmeye çalıştığı belirtiliyor. Ardından, hedeflere SMS yoluyla sahte Okta giriş sayfalarına yönlendiren bağlantılar gönderildi. Kurbanlar, kimlik bilgilerini ve MFA kodlarını girdiklerinde bu bilgiler saldırganların eline geçti. Saldırılardan en çok etkilenen ülke 114 kuruluşla ABD olurken, 68 farklı ülkede de kurbanlar tespit edildi. Group-IB kıdemli tehdit istihbarat analisti Roberto Martinez, kampanyanın tam kapsamının henüz bilinmediğini ve '0ktapus kampanyasının inanılmaz derecede başarılı olduğunu' vurguladı.
0ktapus saldırganlarının nihai hedefi, çok aşamalı bir saldırıyla şirket posta listelerine veya müşteriye yönelik sistemlere erişerek tedarik zinciri saldırıları düzenlemekti. Rapora göre, saldırganlar ilk aşamada çoğunlukla yazılım-hizmet (SaaS) firmalarını hedef aldı. Group-IB raporunu yayımladıktan saatler sonra DoorDash, 0ktapus tarzı bir saldırıya uğradığını açıkladı. Şirket, 'yetkisiz bir tarafın, tedarikçi çalışanlarının çalınmış kimlik bilgilerini kullanarak bazı iç araçlara eriştiğini' ve müşteri ile teslimatçıların kişisel bilgilerini çaldığını duyurdu.
Sistem Güvenliği
Kampanya boyunca 5.441 MFA kodunun ele geçirildiğini belirten Group-IB araştırmacıları, 'MFA gibi güvenlik önlemleri güvenli görünebilir, ancak saldırganların nispeten basit araçlarla bunları aşabildiği açık' uyarısında bulundu. KnowBe4'ten Roger Grimes, 'Bu, saldırganların sözde güvenli çok faktörlü kimlik doğrulamayı ne kadar kolay atlatabildiğini gösteren başka bir phishing saldırısı' dedi. Araştırmacılar, 0ktapus benzeri saldırılara karşı URL ve parola hijyenine dikkat edilmesini ve MFA için FIDO2 uyumlu güvenlik anahtarlarının kullanılmasını öneriyor.