Yazılım şirketi Retool, hedefli ve çok aşamalı bir sosyal mühendislik saldırısının ardından 27 bulut müşterinin hesaplarının tehlikeye atıldığını söyledi.
Retool'un geliştirme platformu, Amazon, Mercedes-Benz, Doordash, NBC, Stripe ve Lyft dahil olmak üzere, girişimlerden Fortune 500 işletmelere kadar değişen şirketler tarafından iş yazılımı oluşturmak için kullanılır.
Retool'un mühendislik başkanı Snir Kodesh, tüm kaçırılan hesapların kripto para birimi endüstrisindeki müşterilere ait olduğunu açıkladı.
Saldırganlar, bir BT çalışanının Okta hesabından ödün vermek için SMS kimlik avı ve sosyal mühendislik kullanan birden fazla güvenlik kontrolünü atladıktan sonra 27 Ağustos'ta ihlal edildi.
Saldırı, Retool'un iç kimlik portalını taklit eden bir URL kullandı ve daha önce ilan edilen girişlerin OKTA'ya göç etmesi sırasında başlatıldı.
Hedeflenen çalışanların çoğu kimlik avı metin mesajını görmezden gelirken, çok faktörlü kimlik doğrulama (MFA) formuna sahip sahte bir giriş portalına yönlendirilen gömülü kimlik avı bağlantısını tıkladı.
Oturum açtıktan sonra, saldırgan bir çalışanın sesini derinleştirdi ve hedeflenen BT ekip üyesini çağırdı ve onları hedeflenen çalışanın OKTA hesabına saldırgan kontrollü bir cihaz eklenmesine izin veren ek bir MFA kodu sağlamaya kandırdı.
Retool, Google Authenticator'da kullanıcıların 2FA kodlarını Google hesaplarıyla senkronize etmelerini sağlayan yeni bir özellikte hack'in başarısını suçluyor.
Bu, hepsi aynı hesaba kaydedildiği sürece, Google Authenticator 2FA kodlarınızı birden çok cihazda kullanabileceğiniz için uzun süredir devam eden bir özellik olmuştur.
Bununla birlikte, Retool, özelliğin, bir çalışanın Google hesabının dahili hizmetler için kullanılan tüm 2FA kodlarına başarılı bir şekilde eklenmesine izin veren hacker'a izin verdiği için Ağustos ihlali şiddeti için de suçlanacağını söylüyor.
Kodesh, "Bu kodlar (ve OKTA oturumu) ile saldırgan VPN'imize ve en önemlisi dahili yönetici sistemlerimize erişim sağladı." Dedi.
"Bu, belirli bir müşteri kümesine (hepsi kripto endüstrisinde) bir hesap devralma saldırısı çalıştırmalarına izin verdi. (Kullanıcılar için e -postaları değiştirdiler ve şifreleri sıfırladılar.) Hesaplarını ele geçirdikten sonra, saldırgan Retool uygulamalarının bazılarını etrafında dürttü. . "
Kodesh'in açıkladığı gibi, başlangıçta Retool MFA'yı etkinleştirmiş olsa da, Google kimlik doğrulayıcısı tarafından bulutla senkronize edilen kimyasal kodlar, tek faktörlü kimlik doğrulamasına yanlışlıkla geçişe yol açtı.
Bu değişim, Google Authenticator'da depolanan tüm bir kerelik şifrelere (OTP) erişim sağlayarak Google hesabı üzerinde kontrol edilen OKTA hesabı üzerinde kontrol olarak gerçekleşti.
Diyerek şöyle devam etti: "Google'ın ya Google Authenticator'daki (Bulutta MFA kodlarının tasarrufunu teşvik eden) karanlık kalıplarını ortadan kaldırması gerektiğine inanıyoruz ya da en azından kuruluşlara devre dışı bırakma yeteneği sağlıyoruz."
Google Authenticator bulut senkronizasyon özelliğini tanıtırken gerekli değildir. Özelliği etkinleştirdiyseniz, uygulamanın sağ üst kısmındaki hesap çemberine tıklayarak ve 'Hesap Olmadan Authenticator kullanın' seçerek devre dışı bırakabilirsiniz. Bu, sizi uygulamanın dışında günlüğe kaydedecek ve Google hesabınızdaki senkronize 2FA kodlarınızı silecektir.
"İlk önceliğimiz, ister tüketici veya işletme olsun, tüm çevrimiçi kullanıcıların güvenliği ve güvenliğidir ve bu etkinlik, kimlik doğrulama teknolojilerimizi geliştirmeye adanmış kaldığımızın bir başka örneğidir. Bunun ötesinde, daha güvenli kimlik doğrulama teknolojilerine doğru ilerlemeyi teşvik etmeye devam ediyoruz. Bir Google sözcüsü BleepingComputer'a verdiği demeçte.
Google ayrıca, benzer saldırıları engellemek için basit bir yol olarak Legacy Tek Texe Parola (OTP) çok faktörlü kimlik doğrulamasından FIDO tabanlı teknolojiye geçiş yapmayı önerdi.
Google sözcüsü, "Kimlik avı ve sosyal mühendislik riskleri, OTP'ye dayalı olanlar gibi eski kimlik doğrulama teknolojileri ile, endüstrinin bu FIDO tabanlı teknolojilere büyük yatırım yapmasının nedenidir." Dedi.
"Bu değişikliklere yönelik çalışmaya devam ederken, Google Authenticator kullanıcılarının OTP'lerini Google hesaplarıyla senkronize edip etmediklerini veya yalnızca yerel olarak depolanmasını sağlama seçeneğine sahip olduklarını bilmelerini istiyoruz. Bu arada, çalışmaya devam edeceğiz Google Authenticator'da gelecekteki iyileştirmeleri göz önünde bulundurduğumuz için güvenliği kullanılabilirlikle dengelemek üzerine. "
Güvenlik olayını keşfettikten sonra Retool, OKTA ve G Suite için olanlar da dahil olmak üzere tüm dahili çalışanların kimlik doğrulamalı oturumlarını iptal etti.
Ayrıca, 27 uzlaştırılmış hesabın hepsine erişimi kısıtladı ve etkilenen tüm bulut müşterilerini bilgilendirerek, tüm kaçırılan hesapları orijinal yapılandırmalarına geri yükledi (Retool'a göre hiçbir şirket içi müşteriler olaydan etkilenmedi).
Kodesh, "Bu, bir saldırganın Retool Cloud'a erişimi olmasına rağmen, şirket içi müşterileri etkilemek için yapabilecekleri hiçbir şey olmadığı anlamına geliyordu." Dedi.
Diyerek şöyle devam etti: "Kripto ve özellikle daha büyük müşterilerimizin büyük çoğunluğunun şirket içi retool kullandığını belirtmek gerekir."
Bir Coindesk raporu, Retool ihlalini Eylül ayı başlarında Fortress Trust'tan 15 milyon dolarlık hırsızlığa bağladı.
Retool'un geliştirme platformu, Amazon, Mercedes-Benz, Doordash, NBC, Stripe ve Lyft dahil olmak üzere, girişimlerden Fortune 500 işletmelere kadar değişen şirketler tarafından iş yazılımı oluşturmak için kullanılır.
Tehdit aktörleri, kurumsal ağlara ilk erişim elde etmek için BT hizmet masalarını veya destek personelini hedefleyen sosyal mühendislik saldırılarını giderek daha fazla kullanıyor.
Bu taktiği kullanılarak hacklenen şirketlerin listesi Cisco, Uber, 2K oyunları ve daha yakın zamanda MGM Resorts'u içeriyor.
Ağustos ayının sonlarında OKTA, bilgisayar korsanları Süper Yönetici veya ORG Yönetici hesapları için çok faktörlü kimlik doğrulama (MFA) savunmalarını sıfırladıktan sonra şirketlerin BT hizmet masaları aracılığıyla ihlal edildiğini uyardı.
ABD federal ajansları da bu haftada derin yorgan kullanan saldırganların arkasındaki siber güvenlik riskleri konusunda uyardı. Başarılı sosyal mühendislik saldırılarını takiben ağlarına, iletişimlerine ve hassas bilgilere erişmek için kullanılan derin köpek paketlerini tespit etmeye yardımcı olabilecek teknoloji kullanmayı tavsiye ettiler.
GÜNCELLEME: Google ifadesi eklendi.
Google Looker Studio, kripto para birimi kimlik avı saldırılarında istismar edildi
W3LL Kimlik Avı Kiti Binlerce Microsoft 365 Hesabı Kaçırıyor, MFA'yı Bypass
Kroll Veri ihlali FTX, Blockfi, Genesis Alacaklılarının bilgilerini ortaya çıkarır
Google, herkes için krom gerçek zamanlı kimlik avı korumasını etkinleştiriyor
Lapsus $ hackerlar bir sonraki seviyeye SIM-Swing saldırılarını aldı
Kaynak: Bleeping Computer