Безопасность

Retool обвиняет Google Authenticator: украдено $15 млн в криптовалюте

Компания-разработчик программного обеспечения Retool заявила, что учетные записи 27 ее облачных клиентов были скомпрометированы в результате сложной атаки социальной инженерии, которая использовала фишинг SMS, подделку голоса и функцию облачной синхронизации Google Authenticator.

Фирма из Сан-Франциско обвинила эту функцию, недавно представленную Google в апреле 2023 года, в усугублении взлома, назвав ее «темным шаблоном». Она заявила, что это позволило злоумышленникам получить доступ к одноразовым кодам (OTP), хранящимся в приложении Google Authenticator, и эффективно обойти многофакторную аутентификацию (MFA).

«Тот факт, что Google Authenticator синхронизируется с облаком, является новым вектором атаки», — сказал Снир Кодеш, технический директор Retool. «Изначально мы внедрили многофакторную аутентификацию. Но благодаря этому обновлению Google то, что раньше было многофакторной аутентификацией, незаметно (для администраторов) превратилось в однофакторную аутентификацию».

Retool заявила, что инцидент, произошедший 27 августа 2023 года, не допускал несанкционированного доступа к текущим или управляемым учетным записям. Это также совпало с переносом компанией своих логинов в Okta.

Все началось с фишинг-атаки SMS, направленной на ее сотрудников, в ходе которой злоумышленники выдавали себя за члена ИТ-команды и инструктировали получателей перейти по, казалось бы, законной ссылке для решения проблемы, связанной с оплатой труда.

Один сотрудник попался в фишинговую ловушку, которая привела его на поддельную целевую страницу, на которой его обманом заставили передать свои учетные данные. На следующем этапе атаки хакеры позвонили сотруднику, снова представившись сотрудником ИТ-службы, подделав его «реальный голос» для получения кода MFA.

«Дополнительный токен OTP, которым обменивались при звонке, был критически важен, поскольку он позволял злоумышленнику добавлять свое собственное устройство к учетной записи Okta сотрудника, что позволяло им создавать свои собственные Okta MFA с этого момента», — сказал Кодеш. «Это позволило им иметь активный сеанс G Suite [теперь Google Workspace] на этом устройстве».

Тот факт, что сотрудник также активировал функцию облачной синхронизации Google Authenticator, позволил субъектам угрозы получить расширенный доступ к его внутренним системам администрирования и эффективно завладеть учетными записями, принадлежащими 27 криптовалютным клиентам, работающим в криптоиндустрии.

«Поскольку контроль над учетной записью Okta означал контроль над учетной записью Google, это привело к контролю над всеми OTP, хранящимися в Google Authenticator», — указал Кодеш.

В конечном итоге злоумышленники изменили электронные письма этих пользователей и сбросили их пароли. В результате взлома у Fortress Trust, одного из пострадавших пользователей, была украдена криптовалюта на сумму около 15 миллионов долларов.

Источник

Click to rate this post!
[Total: 0 Average: 0]
Show More

Leave a Reply

Your email address will not be published. Required fields are marked *