Yazılım şirketi Retool, hedefli ve çok aşamalı bir sosyal mühendislik saldırısının ardından 27 bulut müşterisinin hesaplarının ele geçirildiğini söyledi.
Retool’un geliştirme platformu, yeni kurulan şirketlerden Amazon, Mercedes-Benz, DoorDash, NBC, Stripe ve Lyft gibi Fortune 500 şirketlerine kadar çeşitli şirketler tarafından iş yazılımı oluşturmak için kullanılıyor.
Retool’un mühendislik başkanı Snir Kodesh, ele geçirilen tüm hesapların kripto para endüstrisindeki müşterilere ait olduğunu ortaya çıkardı.
İhlal, saldırganların bir BT çalışanının Okta hesabını tehlikeye atmak için SMS kimlik avı ve sosyal mühendislik kullanarak birden fazla güvenlik kontrolünü aşmasının ardından 27 Ağustos’ta meydana geldi.
Saldırı, Retool’un dahili kimlik portalını taklit eden bir URL kullandı ve daha önce duyurulan oturum açma işlemlerinin Okta’ya taşınması sırasında başlatıldı.
Hedeflenen çalışanların çoğu kimlik avı kısa mesajını görmezden gelirken, bir kişi çok faktörlü kimlik doğrulama (MFA) formuna sahip sahte bir giriş portalına yönlendiren gömülü kimlik avı bağlantısına tıkladı.
Saldırgan, oturum açtıktan sonra bir çalışanın sesini derin taklit etti ve hedeflenen BT ekibi üyesini arayarak, hedef çalışanın Okta hesabına saldırgan tarafından kontrol edilen bir cihazın eklenmesine olanak tanıyan ek bir MFA kodu sağlamaları için onları kandırdı.
Hack’in sorumlusu yeni Google Authenticator senkronizasyon özelliği oldu
Retool, saldırının başarısını Google Authenticator’daki kullanıcıların 2FA kodlarını Google hesaplarıyla senkronize etmelerine olanak tanıyan yeni bir özelliğe bağlıyor.
Bu, uzun zamandır istenen bir özellikti; çünkü artık Google Authenticator 2FA kodlarınızı, hepsi aynı hesaba giriş yaptığı sürece birden fazla cihazda kullanabilirsiniz.
Ancak Retool, bir çalışanın Google hesabını başarıyla ele geçiren bilgisayar korsanının dahili hizmetler için kullanılan tüm 2FA kodlarına erişmesine izin verdiği için bu özelliğin Ağustos ayındaki ihlalin ciddiyetinden de sorumlu olduğunu söylüyor.
Kodesh, “Bu kodlarla (ve Okta oturumuyla) saldırgan VPN’imize ve en önemlisi dahili yönetici sistemlerimize erişim elde etti” dedi.
“Bu, belirli bir müşteri grubuna (hepsi kripto sektöründe) hesap ele geçirme saldırısı yapmalarına olanak sağladı. (Kullanıcıların e-postalarını değiştirdiler ve şifrelerini sıfırladılar.) Hesapları ele geçirdikten sonra saldırgan, Retool uygulamalarından bazılarını araştırdı. “
Kodesh’in açıkladığı gibi, Retool başlangıçta MFA’yı etkinleştirmiş olsa da Google Authenticator tarafından bulutla senkronize edilen kimlik doğrulama kodları, tek faktörlü kimlik doğrulamasına yanlışlıkla geçiş yapılmasına yol açtı.
Bu değişim, Okta hesabı üzerindeki kontrolün Google hesabı üzerindeki kontrole dönüşmesi ve ardından Google Authenticator’da saklanan tüm Tek Kullanımlık Şifrelere (OTP’ler) erişim verilmesiyle gerçekleşti.
“Google’ın ya Google Authenticator’daki (MFA kodlarının buluta kaydedilmesini teşvik eden) karanlık kalıplarını ortadan kaldırması ya da en azından kuruluşlara bunu devre dışı bırakma olanağı sunması gerektiğine inanıyoruz.”
Google Authenticator bulut senkronizasyonu özelliğini tanıtsa da bu zorunlu değildir. Özelliği etkinleştirdiyseniz, uygulamanın sağ üst köşesindeki hesap çevresini tıklayıp ‘Kimlik Doğrulayıcıyı hesap olmadan kullan’ı seçerek özelliği devre dışı bırakabilirsiniz. Bu, uygulamadaki oturumunuzu kapatacak ve Google hesabınızdaki senkronize edilmiş 2FA kodlarınızı silecektir.
“Birinci önceliğimiz, ister tüketici ister kurumsal olsun, tüm çevrimiçi kullanıcıların emniyeti ve güvenliğidir ve bu etkinlik, kimlik doğrulama teknolojilerimizi geliştirmeye neden kararlı olduğumuzun bir başka örneğidir. Bunun ötesinde, daha güvenli kimlik doğrulama teknolojilerine doğru hareketi teşvik etmeye de devam ediyoruz. Bir Google sözcüsü, BleepingComputer’a yaptığı açıklamada, bir bütün olarak, kimlik avına karşı dirençli olan geçiş anahtarları gibi, “dedi.
Google ayrıca benzer saldırıları engellemenin basit bir yolu olarak eski tek kullanımlık şifre (OTP) çok faktörlü kimlik doğrulamasından FIDO tabanlı teknolojiye geçiş yapılmasını da önerdi.
Google sözcüsü, “OTP’ye dayalı olanlar gibi eski kimlik doğrulama teknolojilerindeki kimlik avı ve sosyal mühendislik riskleri, sektörün bu FIDO tabanlı teknolojilere yoğun yatırım yapmasının nedenidir” dedi.
“Bu değişiklikler üzerinde çalışmaya devam ederken, Google Authenticator kullanıcılarının, OTP’lerini Google Hesaplarıyla senkronize etme veya yalnızca yerel olarak saklama seçeneklerine sahip olduklarını bilmelerini sağlamak istiyoruz. Bu arada, çalışmaya devam edeceğiz. Google Authenticator’da gelecekte yapılacak iyileştirmeleri değerlendirirken güvenlik ile kullanılabilirliği dengelemeye odaklanıyoruz.”
Hiçbir şirket içi Retool müşterisi ihlal edilmedi
Güvenlik olayını keşfettikten sonra Retool, Okta ve G Suite oturumları da dahil olmak üzere şirket içi çalışanların kimlik doğrulaması yaptığı tüm oturumları iptal etti.
Ayrıca ele geçirilen 27 hesabın tümüne erişimi kısıtladı ve etkilenen tüm bulut müşterilerini bilgilendirerek ele geçirilen tüm hesapları orijinal yapılandırmalarına geri yükledi (Retool’a göre olaydan hiçbir şirket içi müşteri etkilenmedi).
Kodesh, “Bu, bir saldırganın Retool bulutuna erişimi olmasına rağmen şirket içi müşterileri etkilemek için yapabileceği hiçbir şey olmadığı anlamına geliyordu” dedi.
“Kripto paralarımızın ve daha büyük müşterilerimizin büyük çoğunluğunun özellikle Retool’u şirket içinde kullandığını belirtmekte fayda var.”
Bir Coindesk raporu, Retool ihlalini şuna bağladı: 15 milyon dolarlık hırsızlık Eylül başında Fortress Trust’tan.
Retool’un geliştirme platformu, yeni kurulan şirketlerden Amazon, Mercedes-Benz, DoorDash, NBC, Stripe ve Lyft gibi Fortune 500 şirketlerine kadar çeşitli şirketler tarafından iş yazılımı oluşturmak için kullanılıyor.
BT hizmet masalarını veya destek personelini hedef alan sosyal mühendislik saldırıları, tehdit aktörleri tarafından kurumsal ağlara ilk erişim sağlamak amacıyla giderek daha fazla kullanılıyor.
Bu taktiği kullanarak saldırıya uğrayan şirketlerin listesi arasında Cisco, Uber, 2K Games ve son zamanlarda MGM Resorts yer alıyor.
Ağustos ayının sonlarında Okta, bilgisayar korsanlarının Süper Yönetici veya Kuruluş Yöneticisi hesapları için Çok Faktörlü Kimlik Doğrulama (MFA) savunmalarını sıfırlamasının ardından, şirketlerin BT hizmet masaları aracılığıyla ağların ihlal edildiği konusunda müşterilerini uyardı.
ABD Federal Ajansları da bu hafta deepfake kullanan saldırganların arkasında yatan siber güvenlik riskleri konusunda uyardı. Başarılı sosyal mühendislik saldırılarının ardından ağlarına, iletişimlerine ve hassas bilgilerine erişim sağlamak için kullanılan derin sahtekarlıkların tespit edilmesine yardımcı olabilecek teknolojinin kullanılmasını önerdiler.
Güncelleme: Google bildirimi eklendi.