Geçen haftaki MGM Resorts ve Caesars Entertainment siber saldırılarının arkasında olduğuna inanılan tehdit aktörleri, artık Okta Agent’taki bir güvenlik açığı aracılığıyla MGM’nin sistemlerini ihlal edebildiklerini söylüyor.
Okta, bulut için popüler bir kimlik ve erişim yönetimi (IAM) sağlayıcısıdır.
ALPHV, “MGM, Okta Agent sunucularında gizlendiğimizi ve parolaları etki alanı denetleyici karma dökümlerinden kırılamayan kişilerin parolalarını kokladığımızı öğrendikten sonra Okta Sync sunucularının her birini kapatma yönünde aceleci bir karar aldı.” Sızıntı sitesinde Emsisoft araştırmacısı Brett Callow’un yaptığı bir açıklamada şunları yazdı: tweet attı. “Bu, Okta’larının tamamen devre dışı kalmasına neden oldu.”
ALPHV açıklamasında, tehdit grubunun bir gün boyunca gizlendikten sonra 11 Eylül’de 1000’den fazla ESXi hipervizörüne fidye yazılımı siber saldırıları başlattığı belirtildi: “… temasa geçmeye çalıştıktan sonra [with MGM] ancak başarısız oluyor” ifadesine yer verildi.
Fidye yazılımı grubu, MGM Resorts’un kendileriyle çalışmadığını ve mali bir düzenleme yapılmazsa daha fazla işlem yapmakla tehdit ettiğini açıkça belirtti.
ALPHV açıklamasında “MGM’nin bazı altyapısına hâlâ erişmeye devam ediyoruz” denildi. “Anlaşmaya varılamazsa ek saldırılar gerçekleştireceğiz.”
ALPHV (aka BlackCat), Scattered Spider tehdit grubuna kumarhane siber saldırılarını gerçekleştirmek için kötü amaçlı yazılım ve destek hizmetleri sağlayan hizmet olarak fidye yazılımı (RaaS) operatörünün adıdır.
Okta’nın Sosyal Mühendislik Saldırılarına İlişkin Ağustos Uyarısı
Okta ise potansiyel riskin farkında gibi görünüyordu ve 31 Ağustos’ta müşterileri Okta sistemlerinde sosyal mühendislik yoluyla yüksek ayrıcalıklı erişim elde etme girişimleri konusunda uyarmak için bir uyarı yayınladı.
“Geçtiğimiz haftalarda, ABD merkezli çok sayıda Okta müşterisi, BT hizmet masası personeline yönelik tutarlı bir sosyal mühendislik saldırı modeli bildirdi; bu saldırılarda arayanın stratejisi, hizmet masası personelini kayıtlı tüm çok faktörlü kimlik doğrulama (MFA) faktörlerini sıfırlamaya ikna etmekti. Oldukça ayrıcalıklı kullanıcılar tarafından” diye uyardı Okta. “Saldırganlar daha sonra, ele geçirilen kuruluş içindeki kullanıcıların kimliğine bürünmelerine olanak tanıyan meşru kimlik federasyonu özelliklerini kötüye kullanmak için yüksek ayrıcalıklı Okta Süper Yönetici hesaplarının ele geçirilmesinden yararlandı.”
Okta ayrıca MGM ile olan ilişkisini de oldukça kamuoyuna duyurdu ve web sitesine göre “en iyi konuk deneyiminin yapı taşlarını” sağlamak için konaklama şirketiyle birlikte çalıştı.
Okta, Dark Reading’in yorum taleplerine hemen yanıt vermedi.
Yeni MFA İstismar Dalgası Muhtemelen
Critical Start’ın tehdit araştırmalarından sorumlu kıdemli yöneticisi Callie Guenther’e göre bu, endişe verici bir şekilde yüksek ayrıcalıklı kullanıcıları hedef alan yeni bir siber saldırı dalgasının ilki olabilir. Sonuçta Okta, siber suç aktörleri arasında zaten popüler bir hedef.
Günther, “Okta, birçok kuruluşun IAM stratejilerindeki merkezi konumu göz önüne alındığında doğal olarak çekici bir hedeftir” diyor. “Önemli olan bu sistemleri doğası gereği kusurlu olarak görmek değil, sağlam güvenlik hijyeninin, sürekli izlemenin ve tehdit istihbaratının hızlı paylaşımının önemini anlamaktır.”
Yardım masası siber güvenlik araçları sağlayıcısı Nametag’ın CEO’su Aaron Painter’a göre asıl sorun Okta kusuru değil. Daha ziyade, MFA’nın insanlardan ziyade cihazları tanımlamak için tasarlanmış olduğu gerçeğidir.
Painter, “Bu güvenlik açığı MGM’ye veya Okta’ya özgü değil; çok faktörlü kimlik doğrulamayla ilgili sistemik bir sorun” diyor. “MFA, insanları değil cihazları doğruluyor. Güvenli kayıt ve kurtarmadan yoksun; hangi insanın kimliğinin doğrulandığını bilmeniz gereken iki an. Bu, MFA’nın çözmek için tasarlanmadığı bilinen bir sorun.”
Bu gelişmekte olan bir hikaye.