Οι χάκερ που παραβίασαν την Twilio νωρίτερα αυτόν τον μήνα έκλεψαν και 10.000 login credentials χρηστών από 130 διαφορετικούς οργανισμούς: η Group-IB ονομάζει την phishing καμπάνια ως 0ktapus.
Δείτε επίσης: Phishing: Ραγδαία αύξηση της κατάχρησης νόμιμων πλατφορμών SaaS
Δείτε επίσης: Η κυβέρνηση των ΗΠΑ προειδοποιεί τους Αμερικανούς για κλιμάκωση των επιθέσεων phishing μέσω SMS
Η πρόσφατη εισβολή στο δίκτυο της Twilio επέτρεψε στους χάκερ να έχουν πρόσβαση στα δεδομένα 125 πελατών και εταιρειών της Twilio – συμπεριλαμβανομένης της εφαρμογής κρυπτογραφημένης ανταλλαγής μηνυμάτων end-to-end – αφού εξαπάτησαν τους υπαλλήλους να παραδώσουν τα εταιρικά τους login credentials και τους κωδικούς two-factor από μηνύματα SMS phishing που υποτίθεται ότι να προέρχονται από το τμήμα πληροφορικής της Twilio. Εκείνη την εποχή, το TechCrunch έμαθε για σελίδες phishing που υποδύονταν άλλες εταιρείες, συμπεριλαμβανομένης μιας αμερικανικής εταιρείας Διαδικτύου, μιας εταιρείας εξωτερικής ανάθεσης πληροφορικής και ενός παρόχου εξυπηρέτησης πελατών, αλλά η κλίμακα της καμπάνιας παρέμενε ασαφής.
Τώρα, η εταιρεία κυβερνοασφάλειας Group-IB λέει ότι η επίθεση στην Twilio ήταν μέρος μιας ευρύτερης καμπάνιας από την ομάδα hacking που αποκαλεί «0ktapus», μια αναφορά στον τρόπο με τον οποίο οι χάκερ στοχεύουν κυρίως οργανισμούς που χρησιμοποιούν την Okta ως ενιαίο πάροχο σύνδεσης.
Η Group-IB, η οποία ξεκίνησε έρευνα αφότου ένας από τους πελάτες της έγινε στόχος μιας συνδεδεμένης επίθεσης phishing, είπε σε ευρήματα που κοινοποιήθηκαν στο TechCrunch ότι η συντριπτική πλειοψηφία των στοχευόμενων εταιρειών έχουν την έδρα τους στις ΗΠΑ ή έχουν προσωπικό με έδρα τις ΗΠΑ. Οι εισβολείς έχουν κλέψει τουλάχιστον 9.931 user credentials από τον Μάρτιο, σύμφωνα με τα ευρήματα της Group-IB, με περισσότερους από τους μισούς να περιέχουν κωδικούς multi-factor authentication που χρησιμοποιούνται για πρόσβαση στο δίκτυο μιας εταιρείας.
Δείτε επίσης: Επίθεση phishing χειραγωγεί τα θύματα για να παραδώσουν τα passwords τους
“Σε πολλές περιπτώσεις, υπάρχουν εικόνες, fonts ή scripts που είναι αρκετά μοναδικά ώστε να μπορούν να χρησιμοποιηθούν για τον εντοπισμό ιστοτόπων phishing που έχουν σχεδιαστεί με το ίδιο κιτ phishing”, δήλωσε στο TechCrunch ο Roberto Martinez, ανώτερος αναλυτής πληροφοριών απειλών στην Group-IB. “Σε αυτήν την περίπτωση, βρήκαμε μια εικόνα που χρησιμοποιείται
νόμιμα από ιστότοπους που αξιοποιούν το Okta authentication που χρησιμοποιείται από το phishing kit.”“Μόλις εντοπίσαμε ένα αντίγραφο του κιτ phishing, αρχίσαμε να ψάχνουμε βαθύτερα για να κατανοήσουμε καλύτερα την απειλή. Η ανάλυση του phishing kit αποκάλυψε ότι είχε κακή διαμόρφωση και ο τρόπος που είχε αναπτυχθεί παρείχε τη δυνατότητα εξαγωγής κλεμμένων credentials για περαιτέρω ανάλυση”, είπε ο Martinez.
Αν και δεν είναι ακόμη γνωστό πώς οι χάκερ απέκτησαν τηλεφωνικούς αριθμούς και τα ονόματα των εργαζομένων στους οποίους εστάλησαν στη συνέχεια phishing SMS, η Group-IB σημειώνει ότι ο εισβολέας στόχευσε πρώτα τους παρόχους κινητής τηλεφωνίας και τις εταιρείες τηλεπικοινωνιών και «θα μπορούσε να είχε συλλέξει τους αριθμούς από αυτές τις αρχικές επιθέσεις. ”
Η Group-IB δεν αποκάλυψε τα ονόματα κανενός από τα εταιρικά θύματα, αλλά είπε ότι η λίστα περιλαμβάνει «γνωστούς οργανισμούς», οι περισσότεροι από τους οποίους παρέχουν υπηρεσίες πληροφορικής, ανάπτυξης λογισμικού και cloud. Μια ανάλυση των θυμάτων που κοινοποιήθηκε στο TechCrunch δείχνει ότι οι χάκερ στόχευαν και 13 οργανισμούς στον χρηματοοικονομικό κλάδο, επτά κολοσσούς λιανικής και δύο οργανισμούς βιντεοπαιχνιδιών.
Κατά τη διάρκεια της έρευνάς της, η Group-IB ανακάλυψε ότι ο κώδικας στο phishing kit του χάκερ αποκάλυψε λεπτομέρειες διαμόρφωσης του Telegram bot που χρησιμοποιούσαν οι εισβολείς για το drop παραβιασμένων δεδομένων.
Η Group-IB λέει ότι δεν είναι ακόμη σαφές εάν οι επιθέσεις είχαν σχεδιαστεί εκ των προτέρων ή αν είχαν ληφθεί ευκαιριακές ενέργειες σε κάθε στάδιο. «Ανεξάρτητα, η καμπάνια 0ktapus ήταν απίστευτα επιτυχημένη και η πλήρης κλίμακα της μπορεί να μείνει κρυφή για αρκετό καιρό», πρόσθεσε η εταιρεία.
Πηγή πληροφοριών: techcrunch.com