Bilgisayar korsanları, güvenli erişim çözümleri sağlayan Cisco’ya ait şirket olan Duo’nun telefon sağlayıcısını ele geçirmeyi ve Duo müşterilerinin MFA (çok faktörlü kimlik doğrulama) SMS mesaj günlüklerini çalmayı başardı.
Saldırı hakkında
Duo’nun kullandığı iki sağlayıcıdan biri olan isimsiz sağlayıcı, güvenliği ihlal edilmiş/kimlik avı yapılan çalışan kimlik bilgileri yoluyla ihlal edildi ve bu, saldırganların 1 Nisan 2024’te şirketin dahili sistemlerine erişmesine olanak tanıdı.
Cisco Veri Gizliliği ve Olay Müdahale Ekibi, MSP (yönetilen servis sağlayıcı) ortaklarına “Tehdit aktörü, 1 Mart 2024 ile 31 Mart 2024 arasında Duo hesabınız altında belirli kullanıcılara gönderilen SMS mesajlarının mesaj günlüklerini indirdi” dedi.
“Mesaj günlükleri herhangi bir mesaj içeriği içermiyordu ancak her mesajın gönderildiği telefon numarasını, telefon operatörünü, ülkeyi ve eyaletin yanı sıra diğer meta verileri (örneğin, mesajın tarihi ve saati, mesajın türü, vesaire.).”
İhlal edilen sağlayıcı, saldırganların erişimi mesaj günlüklerinde yer alan numaralardan herhangi birine mesaj göndermek için kullanmadığını söyledi.
Potansiyel yansımalar
Ne yazık ki, erişilen/sızdırılan günlükler hedef odaklı kimlik avı mesajları, e-postalar ve sesli kimlik avı aracılığıyla kullanıcıları hedeflemek için yeterli bilgi sağlıyor.
Etkilenen sağlayıcı, güvenliği ihlal edilen mesaj günlüklerinin bir kopyasını paylaştı ve MSP’ler bunları Duo’dan talep edebilir.
“Lütfen müşterilerinizle telefon numaraları mesaj günlüklerinde bulunan etkilenen kullanıcılarla iletişime geçerek onları bu olay hakkında gereksiz bir gecikme olmadan bilgilendirin ve onlara dikkatli olmalarını ve şüpheli sosyal mühendislik saldırılarını ilgili olay müdahale ekibine veya diğer kişilere bildirmelerini tavsiye edin. bu tür konular için belirlenmiş irtibat noktası” tavsiyesinde bulundu Cisco ekibi.
“Lütfen kullanıcılarınızı sosyal mühendislik saldırılarının oluşturduğu riskler konusunda eğitmeyi ve şüpheli etkinlikleri araştırmayı da düşünün.”
Lapsus$ ve Scattered Spider gibi siber suçlu grupları, kimlik avı mesajları, MFA istem bombardımanı ve sahte tek oturum açma (SSO) sayfaları aracılığıyla şirketlere sızmalarıyla ünlüdür.
Cisco 2022’de de benzer taktiklerle saldırıya uğradı.