Twilio saldırısının arkasındaki tehdit aktörü, erişimlerini Okta kimlik ve erişim yönetimi şirketinin müşterilerinden SMS yoluyla gönderilen tek seferlik şifreleri (OTP’ler) çalmak için kullandı.
Okta, müşterilerine, Twilio aracılığıyla SMS yoluyla gönderilen geçici kodlar da dahil olmak üzere, hizmetler için birden fazla kimlik doğrulama biçimi sağlar.
Twilio konsoluna erişim ile tehdit aktörü, Okta müşterilerine ait cep telefonu numaralarını ve OTP’leri görebiliyordu.
OTP’leri aramak için Twilio’yu kullanma
4 Ağustos’ta bulut iletişim şirketi Twilio, yetkisiz bir tarafın sistemlerine erişim kazandı ve müşterilerine ait bilgiler.
O zamanlar Okta’nın kimlik doğrulama faktörü olarak SMS’i seçen müşteriler için kullandığı hizmetlerden biri Twilio tarafından sağlanıyordu.
8 Ağustos’ta Okta, Twilio saldırısının “Okta ile ilgili belirtilmemiş verileri” ifşa ettiğini ve SMS tabanlı iletişimi farklı bir sağlayıcı üzerinden yönlendirmeye başladığını öğrendi.
Okta, Twilio’nun güvenlik ekibinin dahili sistem günlüklerini kullanarak, tehdit aktörünün müşterilerine ait telefon numaralarına ve OTP kodlarına erişimi olduğunu belirleyebildi.
“Bu günlükleri kullanarak, Okta’nın Savunma Siber Operasyonları’nın analizi, saldırganın Twilio konsoluna erişimi olduğu süre boyunca Okta ile ilgili cep telefonu numaralarının ve tek kullanımlık şifrelerin iki kategorisinin görüntülenebildiğini belirledi” – Okta
Şirket, bir OTP kodunun beş dakikadan fazla geçerli olmadığını belirtiyor.
Tehdit aktörünün Twilio konsolundaki müşterileri ile ilgili etkinliği söz konusu olduğunda, Okta, telefon numaralarının “hedefli” ve “tesadüfi olarak ifşa edilmesi” arasında ayrım yapar.
Şirket, davetsiz misafirin, neredeyse hepsi tek bir kuruluşla ilişkili 38 telefon numarasını aradığını ve bu müşterinin ağına erişim elde etmekle ilgilendiğini belirtti.
“Tehdit aktörünün daha önce kimlik avı kampanyalarında çalınan kimlik bilgilerini (kullanıcı adları ve şifreler) SMS tabanlı MFA zorluklarını tetiklemek için kullandığını ve bu zorluklarda gönderilen Tek Kullanımlık Şifreleri aramak için Twilio sistemlerine erişimi kullandığını değerlendiriyoruz” – Okta
Tehdit aktörü, Twilio’nun idari portallarını kullanarak Okta’nın Twilio hesabı aracılığıyla gönderilen en son 50 mesajı gösteren 38 Okta ile ilgili telefon numarasını aradı.
Bu, bilgisayar korsanlarının daha fazla sayıda telefon numarası görebileceği anlamına gelir. Ancak Okta’nın soruşturması, davetsiz misafirin bu cep telefonu numaralarını kullanmadığını ortaya çıkardı.
Twilio’dan bu hafta başlarında yapılan bir güncelleme, Hacker, Authy 2FA hesaplarına erişti ve geçici jetonları almak için cihazlarını kaydettirdi.
Daha büyük resim
Geçtiğimiz aylarda Okta, tehdit aktörünün birden fazla teknoloji şirketini hedef almak için birden fazla kimlik avı kampanyası uyguladığını gözlemledi ve ona Scatter Swine adını verdi.
Scatter Domuz, oyunun arkasındaki aynı düşmandır. 0ktapus kimlik avı kampanyası Siber güvenlik şirketi Group-IB tarafından bildirildi ve Okta kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını yakalama hedefi nedeniyle bu adı verdi.
Oyuncu, hedeflenen şirketlerin çalışanlarına kurban kuruluş için bir Okta kimlik doğrulama sayfasını taklit eden bir kimlik avı sitesine bağlantı içeren bir SMS göndererek kurumsal ağlara erişmek için 1000’e yakın oturum açma bilgilerini çaldı.
Okta, Scatter Swine/0ktapus’un teknoloji şirketlerinin çalışanlarına, telekomünikasyon sağlayıcılarına ve kripto para birimiyle bağlantılı kişilere ait cep telefonu numaralarını toplamak için ticari veri toplama hizmetlerini kullandığını söylüyor.
Tipik bir Oktapus saldırısı, potansiyel bir çalışana, kurumsal kimlik bilgilerini ve ardından 2FA kodlarını soran bir kimlik avı sitesine bağlantı sağlayan bir SMS ile başlar.
Tüm veriler, Group-IB’yi Kuzey Karolina, ABD’den olabilecek ve ayrıca bir Twitter ve GitHub hesabına sahip bir kişinin izini sürmeye yönlendiren bir Telegram hesabına iletilir.
Bu haftaki raporunda, Okta notları Scatter Swine, toplu olarak SMS phishing (yüzlerce mesaj) göndermenin yanı sıra, destek ekibindenmiş gibi davranarak şirketlerindeki kimlik doğrulama süreci hakkında bilgi edinmek için hedeflenen çalışanları (ve hatta aile üyelerini) de aradı.
“Tehdit aktörünün aksanı Kuzey Amerika’ya benziyor, kendinden emin ve net konuşuyor” – Okta
0ktapus saldırılarını azaltma
2FA kodlarını hedefleyen ayrıntılı sosyal mühendislik saldırılarına karşı savunmak kolay değildir. Genel öneri, şüpheli e-postaların ve kimlik avı sitelerinin göstergelerine dikkat etmektir. Güvenlik uzmanları ayrıca FIDO uyumlu bir güvenlik anahtarı (U2F) kullanmanızı önerir.
Bir kullanıcının oturum açma işlemi önceden kaydedilmiş bir kalıptan saptığında uyarılarla birlikte müşteriye özel ön koşullara dayalı olarak kullanıcı erişimini kısıtlamak için kimlik doğrulama ilkelerinin uygulanması da kötü niyetli bir girişimi gösterebilir.
Ek olarak, Okta aşağıdakileri tavsiye eder:
- Nadiren kullanılan ağlardan ve anonimleştirici proxy’lerden gelen isteklerde aşamalı kimlik doğrulamayı reddetmek veya gerçekleştirmek için Ağ Bölgelerini kullanın
- Uygulamalara erişimi yalnızca kayıtlı cihazlarla veya uç nokta yönetim araçları tarafından yönetilen cihazlarla kısıtlayın
- Uygulamaya özel kimlik doğrulama ilkelerini kullanarak en hassas uygulamalara ve verilere erişimi kısıtlayın
Okta, Scatter Swine SMS olaylarını (örneğin, kimlik doğrulama sorgulamaları, parola sıfırlamaları veya faktör kayıt olayları) aramak isteyen müşteriler için bir sistem günlüğü sorgusu belirli bir kullanıcı için yeni cihazları ve ağ konumlarını ortaya çıkarır.
Okta’nın raporu ayrıca müşterilerin mesajların Twilio üzerinden gelip gelmediğini kontrol etmesine olanak tanıyan daha ayrıntılı sorgular sağlar.