Retool обвиняет Google Authenticator: украдено $15 млн в криптовалюте
Компания-разработчик программного обеспечения Retool заявила, что учетные записи 27 ее облачных клиентов были скомпрометированы в результате сложной атаки социальной инженерии, которая использовала фишинг SMS, подделку голоса и функцию облачной синхронизации Google Authenticator.
Фирма из Сан-Франциско обвинила эту функцию, недавно представленную Google в апреле 2023 года, в усугублении взлома, назвав ее «темным шаблоном». Она заявила, что это позволило злоумышленникам получить доступ к одноразовым кодам (OTP), хранящимся в приложении Google Authenticator, и эффективно обойти многофакторную аутентификацию (MFA).
«Тот факт, что Google Authenticator синхронизируется с облаком, является новым вектором атаки», — сказал Снир Кодеш, технический директор Retool. «Изначально мы внедрили многофакторную аутентификацию. Но благодаря этому обновлению Google то, что раньше было многофакторной аутентификацией, незаметно (для администраторов) превратилось в однофакторную аутентификацию».
Retool заявила, что инцидент, произошедший 27 августа 2023 года, не допускал несанкционированного доступа к текущим или управляемым учетным записям. Это также совпало с переносом компанией своих логинов в Okta.
Все началось с фишинг-атаки SMS, направленной на ее сотрудников, в ходе которой злоумышленники выдавали себя за члена ИТ-команды и инструктировали получателей перейти по, казалось бы, законной ссылке для решения проблемы, связанной с оплатой труда.
Один сотрудник попался в фишинговую ловушку, которая привела его на поддельную целевую страницу, на которой его обманом заставили передать свои учетные данные. На следующем этапе атаки хакеры позвонили сотруднику, снова представившись сотрудником ИТ-службы, подделав его «реальный голос» для получения кода MFA.
«Дополнительный токен OTP, которым обменивались при звонке, был критически важен, поскольку он позволял злоумышленнику добавлять свое собственное устройство к учетной записи Okta сотрудника, что позволяло им создавать свои собственные Okta MFA с этого момента», — сказал Кодеш. «Это позволило им иметь активный сеанс G Suite [теперь Google Workspace] на этом устройстве».
Тот факт, что сотрудник также активировал функцию облачной синхронизации Google Authenticator, позволил субъектам угрозы получить расширенный доступ к его внутренним системам администрирования и эффективно завладеть учетными записями, принадлежащими 27 криптовалютным клиентам, работающим в криптоиндустрии.
«Поскольку контроль над учетной записью Okta означал контроль над учетной записью Google, это привело к контролю над всеми OTP, хранящимися в Google Authenticator», — указал Кодеш.
В конечном итоге злоумышленники изменили электронные письма этих пользователей и сбросили их пароли. В результате взлома у Fortress Trust, одного из пострадавших пользователей, была украдена криптовалюта на сумму около 15 миллионов долларов.