Twilio ve Cloudflare çalışanlarına yönelik hedefli saldırılar, 130'dan fazla kuruluştaki 9.931 hesabın ele geçirilmesiyle sonuçlanan büyük bir kimlik avı kampanyasıyla bağlantılı. Kampanyalar, araştırmacılar tarafından tehdit aktörlerine 0ktapus adını kazandıran kimlik ve erişim yönetimi firması Okta'nın kötüye kullanılmasıyla bağlantılı.
Group-IB araştırmacıları yakın tarihli bir raporda, "Tehdit aktörlerinin temel amacı, hedeflenen kuruluşların kullanıcılarından Okta kimlik bilgilerini ve çok faktörlü kimlik doğrulama (MFA) kodlarını elde etmekti" diye yazdı. "Bu kullanıcılar, kuruluşlarının Okta kimlik doğrulama sayfasını taklit eden kimlik avı sitelerine bağlantılar içeren kısa mesajlar aldı."
Etkilenenler arasında 114 ABD merkezli firma vardı ve 68 ülkeye daha yayılan ek kurbanlar vardı.
Group-IB'nin kıdemli tehdit istihbaratı analisti Roberto Martinez, saldırıların kapsamının hala bilinmediğini söyledi. "0ktapus kampanyası inanılmaz derecede başarılı oldu ve bunun tam boyutu bir süre daha bilinemeyebilir" dedi.
0ktapus Hackerlarının İstediği Şey
0ktapus saldırganlarının, potansiyel hedeflerin telefon numaralarına erişim kazanma umuduyla telekomünikasyon şirketlerini hedef alarak kampanyalarına başladıklarına inanılıyor.
Tehdit aktörlerinin MFA ile ilgili saldırılarda kullanılan telefon numaralarının listesini nasıl elde ettiğinden tam olarak emin olmasa da araştırmacıların öne sürdüğü teorilerden biri, 0ktapus saldırganlarının kampanyalarına telekomünikasyon şirketlerini hedef alarak başladıkları yönünde.
Araştırmacılar, "[A]Group-IB tarafından analiz edilen ele geçirilmiş verilere göre, tehdit aktörleri saldırılarına mobil operatörleri ve telekomünikasyon şirketlerini hedef alarak başladı ve bu ilk saldırılardan elde edilen rakamları toplamış olabilirler" diye yazdı.
Daha sonra saldırganlar kısa mesaj yoluyla hedeflere kimlik avı bağlantıları gönderdi. Bu bağlantılar, hedefin işvereni tarafından kullanılan Okta kimlik doğrulama sayfasını taklit eden web sayfalarına yol açtı. Daha sonra kurbanlardan, çalışanların girişlerini güvence altına almak için kullandıkları çok faktörlü kimlik doğrulama (MFA) kodlarına ek olarak Okta kimlik bilgilerini de göndermeleri istendi.
Eşlik eden bir teknik blogda Group-IB'deki araştırmacılar, çoğunlukla hizmet olarak yazılım firmalarının ilk uzlaşmalarının çok yönlü bir saldırının birinci aşaması olduğunu açıklıyor. 0ktapus'un nihai hedefi, tedarik zinciri saldırılarını kolaylaştırma umuduyla şirket posta listelerine veya müşteriye yönelik sistemlere erişmekti.
İlgili olası bir olayda, Group-IB'nin geçen haftanın sonlarında raporunu yayınlamasından birkaç saat sonra DoorDash firması, 0ktapus tarzı bir saldırının tüm özelliklerini taşıyan bir saldırının hedefi olduğunu açıkladı.
Patlama Yarıçapı: MFA Saldırıları
DoorDash'in yayınladığı bir blog yazısında; "Yetkisiz bir taraf, bazı dahili araçlarımıza erişim sağlamak için satıcı çalışanlarının çalınan kimlik bilgilerini kullandı." Gönderiye göre saldırganlar müşterilerden ve teslimatçılardan isimler, telefon numaraları, e-posta ve teslimat adresleri dahil olmak üzere kişisel bilgileri çalmaya devam etti.
Group-IB'nin raporuna göre, kampanyası sırasında saldırgan 5.441 MFA kodunu ele geçirdi.
Araştırmacılar, "MFA gibi güvenlik önlemleri güvenli görünebilir ancak saldırganların nispeten basit araçlarla bunların üstesinden gelebileceği açıktır" diye yazdı.
KnowBe4'ün veri odaklı savunma savunucusu Roger Grimes, e-posta yoluyla yaptığı açıklamada, "Bu, düşmanların sözde güvenli çok faktörlü kimlik doğrulamayı atlamasının ne kadar kolay olduğunu gösteren bir başka kimlik avı saldırısıdır" diye yazdı. "Kullanıcıları kolayca kimlik avı yapılabilecek şifrelerden kolayca kimlik avı yapılabilir MFA'ya taşımanın hiçbir faydası yok. Herhangi bir fayda elde etmemek için çok fazla sıkı çalışma, kaynak, zaman ve para gerekiyor."
0ktapus tarzı kampanyaları azaltmak için araştırmacılar, URL'ler ve şifreler konusunda iyi hijyen sağlanmasını ve MFA için FIDO2 uyumlu güvenlik anahtarlarının kullanılmasını önerdi.
Grimes, "Birisi ne kullanırsa kullansın," tavsiyesinde bulundu, "kullanıcıya, kendi MFA biçimine karşı gerçekleştirilen yaygın saldırı türleri, bu saldırıları nasıl tanıyacağı ve nasıl yanıt vereceği öğretilmelidir. Kullanıcılara parola seçmelerini söylediğimizde aynısını yapıyoruz, ancak sözde daha güvenli MFA kullanmalarını söylediğimizde bunu yapmıyoruz."