Proteklih nedelja, bezbednosna firma Twilio otkrio je da su napadači sa dobrim resursima uspeli da ukradu podatke od 163 njihova klijenta. Bezbednosna firma Group-IB je u međuvremenu saopštila da su isti napadači koji su pogodili Twilio upali u najmanje 136 kompanija u sličnim naprednim napadima.
Tri kompanije – Authy u vlasništvu Twilio-a, LastPass menadžer lozinki i mreža za isporuku hrane DoorDash poslednjih dana su sve otkrile krađe podataka koje izgledaju kao da su povezane sa istom aktivnošću. Servis za autentifikaciju Okta i provajder bezbednog komunikatora Signal, su nedavno objavili da je pristup njihovim podacima bio rezultat provale Twilio.
Grupa-IB je u četvrtak saopštila da je najmanje 136 kompanija phished od strane istog pretnji kao i Twilio. DoorDash je jedan od njih, rekao je predstavnik kompanije za TechCrunch.
Provale u Authy i LastPass najviše zabrinjavaju. Authy kaže da čuva dvofaktorne (eng. 2fa – Two Factor Authentication) tokene za autentifikaciju za 75 miliona korisnika. S obzirom na lozinke koje je akter pretnje već dobio u prethodnim upadima, ovi tokeni su možda bile jedine stvari koje su sprečile preuzimanje više naloga. Authy je rekao da je akter pretnje koristio svoj pristup da se prijavi na samo 93 individualna naloga i upiše nove uređaje koji bi mogli da dobiju jednokratne lozinke. U zavisnosti od toga kome ti nalozi pripadaju, to bi moglo biti veoma loše. Authy je rekao da je od tada uklonio neovlašćene uređaje sa tih naloga.
LastPass je rekao da je akter pretnje dobio neovlašćeni pristup preko jednog kompromitovanog naloga programera delovima razvojnog okruženja menadžera lozinki. Odatle je akter pretnje „uzeo delove izvornog koda i neke vlasničke LastPass tehničke informacije“. LastPass je rekao da to nije uticalo na glavne lozinke, šifrovane lozinke i druge podatke koji se čuvaju na korisničkim nalozima, kao i na lične podatke klijenata. Iako podaci za LastPass za koje se zna da su dobijeni nisu posebno osetljivi, svako kršenje koje uključuje glavnog provajdera za upravljanje lozinkama je ozbiljno, s obzirom na mnoštvo podataka koje čuva.
DoorDash je takođe rekao da je neotkriveni broj kupaca ukrao imena, adrese e-pošte, adrese za dostavu, brojeve telefona i delimične brojeve platnih kartica od strane istog aktera pretnji, kojeg neki nazivaju Scatter Svine. Glumac pretnje je dobio imena, brojeve telefona i adrese e-pošte od neotkrivenog broja DoorDash izvođača.
Kao što je već objavljeno, početni phishing napad na Twilio bio je dobro planiran i izveden sa hirurškom preciznošću. Akteri pretnji su imali privatne brojeve telefona zaposlenih, više od 169 falsifikovanih domena koji oponašaju Oktu i druge bezbednosne provajdere, kao i mogućnost da zaobiđu 2FA zaštite koje su koristile jednokratne lozinke.
Sposobnost aktera pretnje da iskoristi podatke dobijene u jednom kršenju kako bi izvršio napade na lanac snabdevanja – i njegova sposobnost da ostane neotkriven od marta – pokazuje njegovu snalažljivost i veštinu. Nije neuobičajeno da kompanije koje najave kršenja ažuriraju svoja otkrića u narednim danima ili nedeljama kako bi uključile dodatne informacije koje su kompromitovane. Neće biti iznenađujuće ako jedna ili više žrtava ovde učine isto.
Ako postoji pouka u celoj ovoj zbrci, to je da nisu svi 2FA jednaki. Jednokratne lozinke koje se šalju SMS-om ili generišu pomoću aplikacija za autentifikaciju mogu da se ukradu kao i lozinke, i to je ono što je omogućilo akterima pretnji da zaobiđu ovaj poslednji oblik odbrane od preuzimanja naloga.
Jedna kompanija koja je bila na meti, ali nije postala žrtva bila je Cloudflare. Razlog: zaposleni u Cloudflare-u su se oslanjali na 2FA koji je koristio fizičke ključeve kao što je Yubikeys, koji zajedno sa drugim FIDO2 usaglašenim oblicima 2FA ne mogu biti lažni. Kompanije koje izgovaraju mantru da ozbiljno shvataju bezbednost ne bi trebalo uzimati za ozbiljno ako im je 2FA otporan na ovakve napade i ne predstavlja osnovni deo bezbednosne higijene.
