Napad na Twilio in LastPass je del širokopotezne kampanje ribarjenja

Za phishing napadi, ki so v zadnjih mesecih prizadeli vrsto predvsem ameriških podjetij, verjetno stoji en akter, ki je tako od marca letos napadel blizu 170 tarč.

V začetku avgusta so pri razvijalcu komunikacijskega programja Twilio razkrili, da so bili tarča premišljenega napada z ribarjenjem. V dnevih zatem se je javilo še več žrtev, med njimi Cloudflare, LastPass, DoorDash in ponudnik 2FA storitev Okta, medtem ko so pri Signalu opozorili, da so napadalci nakradene informacije hitro uporabili za poskus zlorabe okoli 1900 številk njihovih uporabnikov. Kmalu se je pokazalo, da je napad zasnovan na izkoriščanju slabosti v spletnih in telefonskih storitvah dvostopenjske avtentikacije (2FA), kakršne ponujata Okta in pa Twiliov oddelek Authy. Posledično so pri varnostni firmi Group-IB, kjer so sedaj napravili podroben povzetek metod zlikovcev, napadalno kampanjo poimenovali 0ktapus.

Postopek je šel približno takole: napadalci so najprej pridobili službene ali domače telefonske številke ljudi v ciljanih podjetjih in jim na SMS poslali sporočilo, ki jih je odpeljalo na posnetek strani za 2FA vpis. Napadalci so vpisane podatke posredovali še verodostojnemu servisu, da je ta žrtvam poslal 2FA gesla ... ki so jih nato vnovič vpisale v lažno stran in tako malopridnežem dale na razpolago svoje uporabniške račune. Ne gre torej za kdovekako tehnično napredno metodo in analitiki po pregledu programskega kompleta, ki je bilo za napad uporabljeno, tudi sklepajo, da napadalci ali pa tisti, ki so jim dostavili orodja, niso zelo izkušeni. So pa bili pri izvedbi kampanje zelo natančni in metodični. Vdore so tudi zelo hitro izkoristili za nadaljnje napade po dobavni verigi, a zaenkrat ni jasno, ali je šlo za oportune akcije ali pa je bila to namera že od začetka. Hekerska skupina, ki za podvigom stoji, še ni znana, trenutno pa znaki namigujejo, da gre verjetno za Američane s finančnim motivom.

V Group-IB so našli 169 unikatnih uporabljenih phishing naslovov, kar daje slutiti, da je bilo tudi napadenih ciljev približno toliko, večina v ZDA. Med njimi naj bi bilo poleg zgoraj omenjenih še več velikih podjetij, od Microsofta do Twitterja, Coinbasa in Epic Games. Kje vse so vdori nepridipravom uspeli, ne povedo, skupno pa naj bi ukradli vpisne podatke najmanj 9931 uporabniških računov. Gre torej za eno najobsežnejših tovrstnih kampanj, ki naj bi trajala vsaj od marca 2022. Ribarski napad preko SMS je hkrati značilnost novejših časov, ko se napadalci od epošte usmerjajo drugam, saj ljudje vse manj radi klikajo na nepreverjene priponke v pošti.