Η εταιρεία Retool αποδίδει την παραβίαση στο χαρακτηριστικό συγχρονισμού του Google Authenticator MFA στο cloud.
Η εταιρεία λογισμικού Retool αναφέρει ότι οι λογαριασμοί 27 πελατών στο cloud δέχθηκαν παραβίαση κατά τη διάρκεια μιας επιθετικής και πολυεπίπεδης επίθεσης social enginnering.
Η πλατφόρμα ανάπτυξης της Retool χρησιμοποιείται για τη δημιουργία επιχειρηματικού λογισμικού από εταιρείες που κυμαίνονται από startups έως μεγάλες επιχειρήσεις της Fortune 500, συμπεριλαμβανομένων των Amazon, Mercedes-Benz, DoorDash, NBC, Stripe και Lyft.
Ο Snir Kodesh, επικεφαλής μηχανικής της Retool, αποκάλυψε ότι όλοι οι παραβιασμένοι λογαριασμοί ανήκουν σε πελάτες στη βιομηχανία των κρυπτονομισμάτων.
Η παραβίαση συνέβη στις 27 Αυγούστου, αφού οι επιτιθέμενοι παρέκαμψαν πολλούς μηχανισμούς ασφαλείας χρησιμοποιώντας SMS phishing και social engineering για να διακινδυνεύσουν τον λογαριασμό του υπαλλήλου IT στο Okta.
Η επίθεση χρησιμοποίησε ένα URL που προσποιούνταν την εσωτερική πύλη ταυτότητας της Retool και εκτελέστηκε κατά τη διάρκεια μιας προηγουμένως ανακοινωθείσας μεταφοράς των συνδέσμων σύνδεσης στο Okta.
Αν και οι περισσότεροι εργαζόμενοι που είχαν γίνει στόχος αγνοήσαν το αναγνωριστικό κείμενο της απάτης, ένας από αυτούς κλικαρε τον ενσωματωμένο σύνδεσμο που ανακατευθύνει σε μια πλαστή πύλη σύνδεσης με πολυπαραγοντική αυθεντικοποίηση (MFA) φόρμα.
Μετά την είσοδο, ο επιτιθέμενος δημιούργησε ένα deepfake της φωνής ενός υπαλλήλου και κάλεσε τον στόχο μέλος της ομάδας τεχνολογίας πληροφορικής, εξαπατώντας τον να παράσχει έναν επιπλέον κωδικό MFA, ο οποίος επέτρεψε την προσθήκη μιας συσκευής που ελέγχεται από τον επιτιθέμενο στον στόχο υπάλληλο λογαριασμού Okta.
Δείτε επίσης: BlackCat ransomware: Κρυπτογραφεί το Azure Storage με Sphynx
Η επίθεση αποδίδεται στη νέα λειτουργία συγχρονισμού του Google Authenticator
Η Retool κατηγορεί την επιτυχία του hack σε μια νέα λειτουργία του Google Authenticator που επιτρέπει στους χρήστες να συγχρονίζουν τους κωδικούς τους 2FA με τον λογαριασμό τους στο Google.
Αυτή ήταν μια λειτουργία που ζητούσαν εδώ και καιρό οι χρήστες, καθώς τώρα μπορούν να χρησιμοποιούν τους κωδικούς 2FA του Google Authenticator σε πολλές συσκευές, εφόσον όλες είναι συνδεδεμένες στον ίδιο λογαριασμό.
Ωστόσο, η Retool αναφέρει ότι η λειτουργία αυτή φέρει επίσης ευθύνη για την σοβαρότητα της παραβίασης της ασφάλειας τον Αύγουστο, καθώς επέτρεψε στον χάκερ που πραγματοποίησε με επιτυχία phishing επίθεση στον λογαριασμό Google ενός υπαλλήλου να έχει πρόσβαση σε όλους τους κωδικούς 2FA που χρησιμοποιούνται για τις εσωτερικές υπηρεσίες.
Όπως εξήγησε ο Kodesh, αρχικά, η Retool είχε ενεργοποιήσει το MFA, αλλά οι κωδικοί που συγχρονίζονταν από το Google Authenticator στον cloud οδήγησαν σε ακούσια μετάβαση σε μονοπαραγοντική αυθεντικοποίηση.
Αυτή η αλλαγή συνέβη καθώς ο έλεγχος του λογαριασμού Okta μεταφράστηκε σε έλεγχο του λογαριασμού της Google, παρέχοντας πρόσβαση σε όλους τους κωδικούς OTP (One-Time Passwords) που αποθηκεύονται στο Google Authenticator.
Αν και το Google Authenticator προωθεί το χαρακτηριστικό συγχρονισμού με το cloud, δεν είναι υποχρεωτικό. Αν έχετε ενεργοποιήσει τη λειτουργία, μπορείτε να την απενεργοποιήσετε κάνοντας κλικ στον κύκλο του λογαριασμού στην επάνω δεξιά γωνία της εφαρμογής και επιλέγοντας ‘Use Authenticator without an account.’ Αυτό θα σας αποσυνδέσει από την εφαρμογή και θα διαγράψει τους συγχρονισμένους κωδικούς 2FA από τον λογαριασμό σας στο Google.
Η Google συνιστά επίσης τη μετάβαση σε τεχνολογία βασισμένη στο FIDO από την παραδοσιακή πολυπαραγοντική ταυτοποίηση με one-time password (OTP) ως έναν απλό τρόπο για να αποτραπούν παρόμοιες επιθέσεις.
“Οι κίνδυνοι ηλεκτρονικού “ψαρέματος” και social engineering με τεχνολογίες ελέγχου ταυτότητας παλαιού τύπου, όπως αυτές που βασίζονται στο OTP, είναι ο λόγος για τον οποίο η βιομηχανία επενδύει σε μεγάλο βαθμό σε αυτές τις τεχνολογίες που βασίζονται στο FIDO”, δήλωσε ο εκπρόσωπος της Google.
Δείτε επίσης: TikTok: Deepfake video του Elon Musk προωθούν ψεύτικα crypto giveaways
Δεν υπήρξαν παραβιάσεις πελατών της Retool που χρησιμοποιούν την on-premise υπηρεσία
Αφού ανακάλυψε το περιστατικό ασφάλειας, η Retool ανέκλεισε όλες τις εσωτερικές πιστοποιημένες συνεδρίες των υπαλλήλων, συμπεριλαμβανομένων αυτών για το Okta και το G Suite.
Επίσης, περιορίστηκε η πρόσβαση σε όλους τους 27 παραβιασμένους λογαριασμούς και ειδοποιήθηκαν όλοι οι επηρεαζόμενοι πελάτες του cloud, επαναφέροντας όλους τους παραβιασμένους λογαριασμούς στις αρχικές τους ρυθμίσεις (σύμφωνα με τη Retool, δεν επηρεάστηκαν πελάτες on-premise στο περιστατικό).
Μια αναφορά του Coindesk συνέδεσε τη διαρροή στο Retool με την κλοπή 15 εκατομμυρίων δολαρίων από τη Fortress Trust στις αρχές Σεπτεμβρίου.
Η πλατφόρμα ανάπτυξης της Retool χρησιμοποιείται από εταιρείες που κυμαίνονται από startups έως μεγάλες επιχειρήσεις της Fortune 500, συμπεριλαμβανομένων των Amazon, Mercedes-Benz, DoorDash, NBC, Stripe και Lyft.
Οι χάκερ χρησιμοποιούν όλο και περισσότερο επιθέσεις social engineering προς τους ειδικούς τμημάτων πληροφορικής ή το προσωπικό υποστήριξης για να αποκτήσουν αρχική πρόσβαση στα εταιρικά δίκτυα.
Η λίστα των εταιρειών που δέχθηκαν επίθεση με τη χρήση αυτής της τακτικής περιλαμβάνει την Cisco, την Uber, την 2K Games και, πιο πρόσφατα, την MGM Resorts.
Προς το τέλος του Αυγούστου, η Okta ενημέρωσε τους πελάτες για δικτυακές παραβιάσεις που έγιναν μέσω των υπηρεσιών των εταιρειών πληροφορικής, μετά από το reset των πολυπαραγόντων ταυτοποίησης (MFA) για λογαριασμούς Super Administrator ή Org Administrator.
Οι Ομοσπονδιακές Υπηρεσίες των ΗΠΑ προειδοποίησαν επίσης αυτήν την εβδομάδα για τους κυβερνοαπειλητές που χρησιμοποιούν deepfakes. Συνιστούν τη χρήση τεχνολογίας που μπορεί να βοηθήσει στον εντοπισμό των deepfakes που χρησιμοποιούνται για την πρόσβαση στα δίκτυά τους, τις επικοινωνίες και τις ευαίσθητες πληροφορίες μετά από επιτυχημένες επιθέσεις social engineering.
Πηγή πληροφοριών: bleepingcomputer.com
