Софтуерната компания Retool съобщава, че акаунтите на 27 клиенти на облачни услуги са били компрометирани в резултат на целенасочена и многоетапна атака чрез социално инженерство.

Платформата за разработване на Retool се използва за изграждане на бизнес софтуер от компании, вариращи от стартъпи до предприятия от класацията Fortune 500, включително Amazon, Mercedes-Benz, DoorDash, NBC, Stripe и Lyft.

Снир Кодеш, ръководител на инженерния отдел на Retool, разкри, че всички отвлечени акаунти принадлежат на клиенти от криптовалутната индустрия.

Нарушението е станало на 27 август, след като нападателите са заобиколили множество контроли за сигурност, използвайки SMS фишинг и социално инженерство, за да компрометират акаунта на ИТ служител в Okta.

Атаката е използвала URL адрес, представящ се за вътрешния портал за идентификация на Retool, и е стартирала по време на предварително обявената миграция на входните данни към Okta.

Въпреки че повечето от служителите, към които е насочено съобщението, са игнорирали фишинг съобщението, един от тях е кликнал върху вградената фишинг връзка, която е пренасочила към фалшив портал за влизане с формуляр за многофакторна автентикация (MFA).

След като влязъл в системата, нападателят дълбоко фалшифицирал гласа на служителя и се обадил на набелязания член на ИТ екипа, като го подвел да предостави допълнителен MFA код, който позволил добавянето на контролирано от нападателя устройство към Okta акаунта на набелязания служител.

За хакерската атака е виновна новата функция за синхронизация на Google Authenticator

Retool обвинява за успеха на хакерската атака новата функция в Google Authenticator, която позволява на потребителите да синхронизират своите 2FA кодове с профила си в Google.

Това е отдавна търсена функция, тъй като сега можете да използвате своите 2FA кодове в Google Authenticator на няколко устройства, стига всички те да са влезли в един и същи акаунт.

Retool обаче твърди, че тази функция е виновна и за сериозността на пробива през август, тъй като е позволила на хакера, който успешно е откраднал профила на служител в Google, да получи достъп до всички техни 2FA кодове, използвани за вътрешни услуги.

„С тези кодове (и сесията на Okta) нападателят е получил достъп до нашата VPN и, което е изключително важно, до вътрешните ни административни системи“, казва Кодеш.

„Това им позволи да извършат атака за превземане на акаунти на определен набор от клиенти (всички в криптоиндустрията). (Те смениха имейлите на потребителите и нулираха паролите.) След като превзе акаунтите им, нападателят се поразрови в някои от приложенията на Retool.“

Както обяснява Кодеш, макар първоначално Retool да е активирала MFA, автентификационните кодове, синхронизирани от Google Authenticator в облака, са довели до неволно преминаване към еднофакторна автентикация.

Това преминаване е станало, тъй като контролът върху акаунта Okta се е превърнал в контрол върху акаунта в Google, предоставяйки достъп до всички еднократни пароли (OTP), съхранявани в Google Authenticator.

„Силно вярваме, че Google трябва или да премахне своите тъмни модели в Google Authenticator (които насърчават запазването на MFA кодове в облака), или поне да предостави на организациите възможността да ги деактивират.“

Въпреки че Google Authenticator насърчава своята функция за синхронизиране в облака, тя не е задължителна. Ако сте активирали функцията, можете да я деактивирате, като щракнете върху кръгчето с акаунта в горния десен ъгъл на приложението и изберете „Използвайте Authenticator без акаунт“. Това ще ви изведе от приложението и ще изтрие синхронизираните 2FA кодове в профила ви в Google.

„Нашият основен приоритет е безопасността и сигурността на всички онлайн потребители, независимо дали са потребители или предприятия, и това събитие е още един пример защо продължаваме да сме отдадени на усъвършенстването на нашите технологии за удостоверяване. Освен това продължаваме да насърчаваме и преминаването към по-безопасни технологии за удостоверяване като цяло, като например паролите, които са устойчиви на фишинг“, заяви говорител на Google.

Google също така препоръча да се премине към технология, базирана на FIDO, от досегашната многофакторна автентикация с еднократна парола (OTP) като прост начин за осуетяване на подобни атаки.

„Рисковете, свързани с фишинг и социално инженерство при старите технологии за удостоверяване, като тези, базирани на OTP, са причината индустрията да инвестира много в тези технологии, базирани на FIDO“, каза говорителят на Google.

„Докато продължаваме да работим по тези промени, искаме да гарантираме, че потребителите на Google Authenticator знаят, че имат избор дали да синхронизират своите OTP с профила си в Google, или да ги съхраняват само локално. Междувременно ще продължим да работим за балансиране на сигурността с удобството при използване, докато обмисляме бъдещи подобрения на Google Authenticator.“

Няма нарушени локални клиенти на Retool

След като открива инцидента със сигурността, Retool анулира всички вътрешни сесии за удостоверяване на служителите, включително тези за Okta и G Suite.

Освен това тя ограничи достъпа до всички 27 компрометирани акаунта и уведоми всички засегнати клиенти на облачни услуги, като възстанови всички отвлечени акаунти до първоначалните им конфигурации (според Retool инцидентът не е засегнал локални клиенти).

„Това означава, че въпреки че нападателят е имал достъп до облака на Retool, той не е могъл да направи нищо, за да засегне локалните клиенти“, казва Кодеш.

„Струва си да се отбележи, че огромното мнозинство от нашите крипто и по-специално по-големи клиенти използват Retool on-premise.“

Доклад на Coindesk свързва пробива в Retool с кражбата на 15 млн. долара от Fortress Trust в началото на септември.

Платформата за разработка на Retool се използва за изграждане на бизнес софтуер от компании, вариращи от стартъпи до предприятия от Fortune 500, включително Amazon, Mercedes-Benz, DoorDash, NBC, Stripe и Lyft.

Заплахите все по-често използват атаки със социално инженерство, насочени към бюрата за ИТ услуги или персонала по поддръжката, за да получат първоначален достъп до корпоративните мрежи.

Списъкът на компаниите, които са били хакнати с помощта на тази тактика, включва Cisco, Uber, 2K Games, а напоследък и MGM Resorts.

В края на август Okta предупреди клиентите си за мрежи, които са били пробити чрез бюрата за ИТ услуги на компаниите, след като хакери са нулирали защитите за многофакторна автентификация (MFA) за акаунти Super Administrator или Org Administrator.

Федералните агенции на САЩ също предупредиха тази седмица за рисковете за киберсигурността, които стоят зад нападателите, използващи дълбоки фалшификати. Те препоръчаха да се използват технологии, които могат да помогнат за откриването на дълбоки фалшификати, използвани за получаване на достъп до техните мрежи, комуникации и чувствителна информация след успешни атаки със социален инженеринг.