Η εταιρεία λογισμικού Retool λέει ό
τι
οι λογαριασμοί 27 πελατών cloud παραβιάστηκαν μετά από μια στοχευμένη και πολλαπλών σταδίων επίθεση κοινωνικής μηχανικής.
Η πλατφόρμα ανάπτυξης του Retool χρησιμοποιείται για την κατασκευή επιχειρηματικού λογισμικού από εταιρείες που κυμαίνονται από νεοφυείς επιχειρήσεις έως επιχειρήσεις του Fortune 500, συμπεριλαμβανομένων των Amazon, Mercedes-Benz, DoorDash, NBC, Stripe και Lyft.
Ο Snir Kodesh, επικεφαλής μηχανικής της Retool, αποκάλυψε ότι όλοι οι λογαριασμοί που έχουν παραβιαστεί ανήκουν σε πελάτες στον κλάδο των κρυπτονομισμάτων.
Η παραβίαση σημειώθηκε στις 27 Αυγούστου, αφού οι επιτιθέμενοι παρέκαμψαν πολλαπλούς ελέγχους ασφαλείας χρησιμοποιώντας SMS phishing και κοινωνική μηχανική για να θέσει σε κίνδυνο τον λογαριασμό Okta ενός υπαλλήλου πληροφορικής.
Η επίθεση χρησιμοποίησε μια διεύθυνση URL που υποδύεται την εσωτερική πύλη ταυτότητας του Retool και ξεκίνησε κατά τη διάρκεια μιας προαναγγελθείσας μετεγκατάστασης συνδέσεων στο Okta.
Ενώ οι περισσότεροι από τους στοχευμένους υπαλλήλους αγνόησαν το
μήνυμα
κειμένου ηλεκτρονικού ψαρέματος, κάποιος έκανε κλικ στον ενσωματωμένο σύνδεσμο phishing που ανακατευθύνθηκε σε μια ψεύτικη πύλη σύνδεσης με μια φόρμα ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Αφού συνδέθηκε, ο εισβολέας έκανε deepfake τη φωνή ενός υπαλλήλου και κάλεσε το στοχευμένο μέλος της ομάδας IT, εξαπατώντας το να παράσχει έναν πρόσθετο κωδικό MFA, ο οποίος επέτρεπε την προσθήκη μιας συσκευής ελεγχόμενης από τον εισβολέα στον λογαριασμό Okta του στοχευόμενου υπαλλήλου.
Το hack ενοχοποιήθηκε για τη νέα δυνατότητα συγχρονισμού του Google Authenticator
Το Retool κατηγορεί για την επιτυχία της εισβολής μια νέα δυνατότητα στο Google Authenticator που επιτρέπει στους χρήστες να συγχρονίζουν τους κωδικούς 2FA με τον λογαριασμό τους Google.
Αυτή ήταν μια λειτουργία που ζητήθηκε εδώ και καιρό, καθώς μπορείτε πλέον να χρησιμοποιείτε τους κωδικούς σας Google Authenticator 2FA σε πολλές συσκευές, αρκεί να είναι όλες συνδεδεμένες στον ίδιο λογαριασμό.
Ωστόσο, η Retool λέει ότι το χαρακτηριστικό ευθύνεται επίσης για τη σοβαρότητα της παραβίασης του Αυγούστου, καθώς επέτρεψε στον χάκερ που επιχείρησε να ψάρεμα τον λογαριασμό Google ενός υπαλλήλου να έχει πρόσβαση σε όλους τους κωδικούς 2FA που χρησιμοποιούνται για εσωτερικές υπηρεσίες.
“Με αυτούς τους κωδικούς (και την περίοδο λειτουργίας Okta), ο εισβολέας απέκτησε πρόσβαση στο VPN μας και, κυρίως, στα εσωτερικά μας συστήματα διαχείρισης,” Kodesh
είπε
.
“Αυτό τους επέτρεψε να εκτελέσουν μια επίθεση κατάληψης λογαριασμού σε ένα συγκεκριμένο σύνολο πελατών (όλοι στη βιομηχανία κρυπτογράφησης). (Άλλαξαν μηνύματα ηλεκτρονικού ταχυδρομείου για τους χρήστες και επαναφέρουν τους κωδικούς πρόσβασης.) Μετά την κατάκτηση των λογαριασμών τους, ο εισβολέας έριξε σε ορισμένες από τις εφαρμογές Retool .”
Όπως εξήγησε η Kodesh, ενώ, αρχικά, το Retool είχε ενεργοποιήσει το MFA, οι κωδικοί ταυτότητας που συγχρονίστηκαν από τον Επαληθευτή Google με το cloud οδήγησαν σε μια ακούσια μετάβαση στον έλεγχο ταυτότητας ενός παράγοντα.
Αυτή η μετατόπιση πραγματοποιήθηκε καθώς ο έλεγχος του λογαριασμού Okta μεταφράστηκε σε έλεγχο του λογαριασμού Google, παραχωρώντας στη συνέχεια πρόσβαση σε όλους τους κωδικούς πρόσβασης μίας χρήσης (OTP) που είναι αποθηκευμένοι στον Επαληθευτή Google.
“Πιστεύουμε ακράδαντα ότι η Google θα πρέπει είτε να εξαλείψει τα σκοτεινά μοτίβα της στον Επαληθευτή Google (που ενθαρρύνει την αποθήκευση των κωδικών MFA στο cloud), είτε τουλάχιστον να παρέχει στους οργανισμούς τη δυνατότητα να το απενεργοποιήσουν.”
Ενώ ο Επαληθευτής Google προωθεί τη δυνατότητα συγχρονισμού cloud, δεν απαιτείται. Εάν έχετε ενεργοποιήσει τη λειτουργία, μπορείτε να την απενεργοποιήσετε κάνοντας κλικ στον κύκλο λογαριασμού στην επάνω δεξιά γωνία της εφαρμογής και επιλέγοντας «Χρήση Επαληθευτή χωρίς λογαριασμό». Με αυτόν τον τρόπο θα αποσυνδεθείτε από την εφαρμογή και θα διαγραφούν οι συγχρονισμένοι κωδικοί 2FA στον λογαριασμό σας Google.
“Η πρώτη μας προτεραιότητα είναι η ασφάλεια και η ασφάλεια όλων των διαδικτυακών χρηστών, είτε καταναλωτών είτε επιχειρήσεων, και αυτή η
εκδήλωση
είναι άλλο ένα παράδειγμα του γιατί παραμένουμε αφοσιωμένοι στη βελτίωση των τεχνολογιών ελέγχου ταυτότητας. Πέρα από αυτό, συνεχίζουμε επίσης να ενθαρρύνουμε την κίνηση προς ασφαλέστερες τεχνολογίες ελέγχου ταυτότητας στο σύνολό τους, όπως οι κωδικοί πρόσβασης, που είναι ανθεκτικοί στο phishing», είπε εκπρόσωπος της Google στο BleepingComputer.
Η Google συνέστησε επίσης τη μετεγκατάσταση σε τεχνολογία που βασίζεται στο FIDO από τον έλεγχο ταυτότητας πολλαπλών παραγόντων με κωδικό πρόσβασης παλαιού τύπου (OTP) ως έναν απλό τρόπο αποτροπής παρόμοιων επιθέσεων.
“Οι κίνδυνοι ηλεκτρονικού “ψαρέματος” και κοινωνικής μηχανικής με τεχνολογίες ελέγχου ταυτότητας παλαιού τύπου, όπως αυτές που βασίζονται στο OTP, είναι ο λόγος για τον οποίο η βιομηχανία επενδύει σε
μεγάλο
βαθμό σε αυτές τις τεχνολογίες που βασίζονται στο FIDO”, δήλωσε ο εκπρόσωπος της Google.
“Ενώ συνεχίζουμε να εργαζόμαστε για αυτές τις αλλαγές, θέλουμε να διασφαλίσουμε ότι οι χρήστες του Επαληθευτή Google γνωρίζουν ότι έχουν τη δυνατότητα να συγχρονίσουν τα OTP τους με τον Λογαριασμό τους Google ή να τα διατηρήσουν αποθηκευμένα μόνο τοπικά. Στο μεταξύ, θα συνεχίσουμε να εργαζόμαστε σχετικά με την εξισορρόπηση της ασφάλειας με τη χρηστικότητα καθώς εξετάζουμε μελλοντικές βελτιώσεις στον Επαληθευτή Google.”
Δεν παραβιάστηκαν πελάτες του Retool εντός εγκατάστασης
Αφού ανακάλυψε το συμβάν ασφαλείας, το Retool ανακάλεσε όλες τις εσωτερικές περιόδους λειτουργίας που είχαν πιστοποιηθεί από υπαλλήλους, συμπεριλαμβανομένων εκείνων για το Okta και το G Suite.
Περιόρισε επίσης την πρόσβαση και στους 27 παραβιασμένους λογαριασμούς και ειδοποίησε όλους τους επηρεαζόμενους πελάτες cloud, επαναφέροντας όλους τους παραβιασμένους λογαριασμούς στις αρχικές τους διαμορφώσεις (κανένας πελάτης εσωτερικής εγκατάστασης δεν επηρεάστηκε από το συμβάν, σύμφωνα με το Retool).
“Αυτό σήμαινε ότι παρόλο που ένας εισβολέας είχε πρόσβαση στο Retool cloud, δεν μπορούσαν να κάνουν τίποτα για να επηρεάσουν τους πελάτες εσωτερικής εγκατάστασης”, είπε ο Kodesh.
“Αξίζει να σημειωθεί ότι η συντριπτική πλειονότητα των κρυπτογραφημένων πελατών μας και ειδικότερα των μεγαλύτερων πελατών μας χρησιμοποιούν το Retool on-premise.”
ΕΝΑ
Έκθεση Coindesk
συνέδεσε την παραβίαση του Retool με το
κλοπή 15 εκατομμυρίων δολαρίων
από το Fortress Trust στις αρχές Σεπτεμβρίου.
Η πλατφόρμα ανάπτυξης του Retool χρησιμοποιείται για την κατασκευή επιχειρηματικού λογισμικού από εταιρείες που κυμαίνονται από νεοφυείς επιχειρήσεις έως επιχειρήσεις του Fortune 500, συμπεριλαμβανομένων των Amazon, Mercedes-Benz, DoorDash, NBC, Stripe και Lyft.
Οι επιθέσεις κοινωνικής μηχανικής που στοχεύουν γραφεία υπηρεσιών πληροφορικής ή προσωπικό υποστήριξης χρησιμοποιούνται όλο και περισσότερο από παράγοντες απειλών για να αποκτήσουν αρχική πρόσβαση στα εταιρικά δίκτυα.
Η λίστα των εταιρειών που δέχθηκαν χακάρισμα χρησιμοποιώντας αυτήν την τακτική περιλαμβάνει τις Cisco, Uber, 2K Games και, πιο πρόσφατα,
MGM Resorts
.
Στα τέλη Αυγούστου, η Okta ειδοποίησε τους πελάτες για παραβιάσεις δικτύων μέσω των γραφείων υπηρεσιών πληροφορικής των εταιρειών, αφού οι χάκερ επαναφέρουν τις άμυνες Multi-Factor Authentication (MFA) για λογαριασμούς Super Administrator ή Org Administrator.
Οι ομοσπονδιακές υπηρεσίες των ΗΠΑ προειδοποίησαν επίσης αυτή την εβδομάδα για το
κινδυνεύει η κυβερνοασφάλεια πίσω από τους επιτιθέμενους που χρησιμοποιούν deepfakes
. Συνέστησαν τη χρήση τεχνολογίας που μπορεί να βοηθήσει στην ανίχνευση deepfakes που χρησιμοποιούνται για να αποκτήσουν πρόσβαση στα δίκτυα, τις επικοινωνίες και τις ευαίσθητες πληροφορίες τους μετά από επιτυχημένες επιθέσεις κοινωνικής μηχανικής.
Ενημέρωση: Προστέθηκε δήλωση Google.
