Twilio Hack'in arkasındaki tehdit oyuncusu, OKTA Identity ve Access Management Company müşterilerinden SMS üzerinden teslim edilen bir kerelik şifreleri (OTP'ler) çalmak için erişimini kullandı.
OKTA, müşterilerine Twilio aracılığıyla SMS üzerinden teslim edilen geçici kodlar da dahil olmak üzere hizmetler için birden fazla kimlik doğrulama biçimi sunar.
Twilio konsoluna erişimle, tehdit oyuncusu cep telefonu numaralarını ve OTP'leri OKTA müşterilerine ait görebiliyordu.
4 Ağustos'ta Cloud Communications Company Twilio, yetkisiz bir partinin sistemlerine ve müşterilerine ait bilgilere eriştiğini keşfetti.
O zaman, OKTA'nın bir kimlik doğrulama faktörü olarak SMS seçen müşteriler için kullanılan hizmetlerden biri Twilio tarafından sağlandı.
8 Ağustos'ta Okta, Twilio Hack'in “OKTA ile ilgili belirtilmemiş verileri” maruz bıraktığını ve SMS tabanlı iletişimi farklı bir sağlayıcı aracılığıyla yönlendirmeye başladığını öğrendi.
Twilio’nun güvenlik ekibinin dahili sistem günlüklerini kullanan Okta, tehdit oyuncunun müşterilerine ait telefon numaralarına ve OTP kodlarına erişebileceğini belirleyebildi.
“Bu günlükleri kullanarak, OKTA’nın savunma siber operasyonları analizi, saldırganın Twilio konsoluna eriştiği süre boyunca iki OKTA ile ilgili cep telefonu numaralarının ve bir kerelik şifrelerin iki kategorisinin görüntülenebildiğini tespit etti”-Okta
Şirket, bir OTP kodunun beş dakikadan fazla geçerli kalmadığını belirtiyor.
Tehdit oyuncunun Twilio konsolundaki müşterileri hakkındaki faaliyeti söz konusu olduğunda, Okta telefon numaralarının “hedefli” ve “tesadüfi maruz kalması” arasında ayrım yapar.
Şirket, davetsiz misafirin, neredeyse bir kuruluşla ilişkili olan 38 telefon numarası aradığını ve o müşterinin ağına erişim kazanma ilgisini gösterdiğini söylüyor.
“Tehdit oyuncusu, SMS tabanlı MFA zorluklarını tetiklemek için kimlik avı kampanyalarında daha önce çalınan kimlik bilgilerini (kullanıcı adları ve şifreler) kullandığını ve bu zorluklarda gönderilen bir kerelik şifreleri aramak için twilio sistemlerine erişim kullandığını değerlendiriyoruz” - Okta
Tehdit oyuncusu, OKTA’nın Twilio hesabı aracılığıyla verilen en son 50 mesajı gösteren Twilio’nun yönetim portallarını kullanarak 38 OKTA ile ilgili telefon numarasını aradı.
Bu, bilgisayar korsanlarının daha fazla sayıda telefon numarası görebileceği anlamına gelir. Ancak OKTA’nın soruşturması, davetsiz misafirin bu cep telefonu numaralarını kullanmadığını ortaya koydu.
Bu haftanın başlarında Twilio'dan bir güncelleme, bilgisayar korsanının Authy 2FA hesaplarına eriştiğini ve geçici jetonları elde etmek için cihazlarını kaydettiğini ortaya koydu.
Son aylarda Okta, tehdit oyuncusunun birden fazla teknoloji şirketini hedeflemek için birden fazla kimlik avı kampanyası uyguladığını gözlemledi ve ona Scatter Swine adını verdi.
Dağılım domuzu, siber güvenlik şirketi Grup-IB tarafından bildirilen 0ktapus kimlik avı kampanyasının arkasındaki rakiptir ve OKTA kimlik kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını yakalama hedefi nedeniyle adlandırılmıştır.
Aktör, hedeflenen şirketlerin çalışanlarına, kurban kuruluşu için bir OKTA kimlik doğrulama sayfasını taklit eden bir kimlik avı alanına bir bağlantıya sahip bir SMS göndererek kurumsal ağlara erişmek için 1.000'e yakın giriş çaldı.
Okta, Scatter Swine/0kTapus'un teknoloji şirketlerinin çalışanlarına, telekomünikasyon sağlayıcılarına ve kripto para birimine bağlı kişilere ait cep telefonu numaralarını toplamak için ticari veri toplama hizmetlerini kullandığını söylüyor.
Tipik bir Oktapus saldırısı, potansiyel bir çalışana, kurumsal kimlik bilgilerini ve ardından 2FA kodlarını isteyen bir kimlik avı sitesine bağlantı veren bir SMS ile başlar.
Tüm veriler, ABD, Kuzey Carolina'dan olabilecek ve ayrıca bir Twitter ve GitHub hesabına sahip olabilecek bir kişiye bir iz üzerinde Grup-IB'yi yöneten bir telgraf hesabına teslim edilir.
Bu hafta raporunda OKTA, SMS kimlik avını toplu olarak (yüzlerce mesaj) teslim etmenin yanı sıra, Hedeflenen çalışanları (ve hatta aile üyelerini) şirketlerindeki kimlik doğrulama süreci hakkında bilgi edinmek için destekliyor ve destekliyormuş gibi davrandığını belirtiyor. .
“Tehdit oyuncusunun aksanı Kuzey Amerika, kendinden emin ve açıkça konuşuluyor” - Okta
2FA kodlarını hedefleyen ayrıntılı sosyal mühendislik saldırılarına karşı savunmak kolay değildir. Genel tavsiye, şüpheli e -postaların ve kimlik avı sitelerinin göstergelerine dikkat etmektir. Güvenlik uzmanları ayrıca FIDO uyumlu bir güvenlik anahtarı (U2F) kullanmayı önermektedir.
Bir kullanıcının oturum açma işlemi daha önce kaydedilmiş bir modelden saptığında, Uyarılarla birlikte, müşteri için uyarlanmış önkoşullara dayalı olarak kullanıcı erişimini kısıtlamak için kimlik doğrulama politikalarının uygulanması da kötü niyetli bir denemeyi gösterebilir.
Ayrıca, OKTA aşağıdakileri tavsiye eder:
Dağılım domuzu SMS olaylarını (örneğin kimlik doğrulama zorlukları, şifre sıfırlaması veya faktör kayıt olayları) aramak isteyen müşteriler için OKTA, belirli bir kullanıcı için yeni cihazları ve ağ konumlarını ortaya çıkaran bir sistem günlük sorgusu sağlamıştır.
OKTA'nın raporu ayrıca müşterilerin mesajların Twilio'dan gelip gelmediğini kontrol etmelerini sağlayan daha rafine sorgular sunar.
Twilio Hackers, Masif Okta Kimlik Avı Saldırısında 130'dan fazla orgs'a çarptı
Doordash, Twilio Hacker'larına bağlı yeni veri ihlalini açıklıyor
Twilio ihlali, bilgisayar korsanlarının Authy 2FA hesaplarına erişmesine izin ver
Twilio: Veri ihlalinden etkilenen 125 müşteri, çalınan şifre yok
Twilio, çalışanlara yönelik SMS kimlik avı saldırısından sonra veri ihlalini açıklar
Kaynak: Bleeping Computer