Новости Чужой среди своих: хакеры надурили техподдержку Okta, прикинувшись внутренними сотрудниками компании

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Социальная инженерия сделала своё дело — профили суперадминистраторов быстро перешли в руки киберзлодеев.


m7zikwr9myeifuzdxi9aip601ybcalw1.jpg


Американская компания Okta , специализирующаяся на управлении цифровыми удостоверениями личности, Для просмотра ссылки Войди или Зарегистрируйся 31 августа о серии атак с использованием методов социальной инженерии на своих специалистов.

Злоумышленники обращались в службы техподдержки клиентов Okta, выдавая себя за реальных сотрудников компании. Целью хакеров было отключение многофакторной аутентификации ( MFA ) и получение доступа к высокопривилегированным учётным записям сотрудников.

После получения желаемого доступа хакеры злоупотребляли правами суперадминистраторов Okta для того, чтобы имитировать действия легитимных пользователей и скрыть факт атаки. Сама атака была зафиксирована в период с 29 июля по 19 августа текущего года.

Okta не раскрыла какие-либо подробности о причастных хакерах, однако независимые исследователи полагают, что их методы, предположительно, соответствуют группировке Muddled Libra, о которой Для просмотра ссылки Войди или Зарегистрируйся в июне этого года.

В основе атак лежит коммерческий фишинговый инструмент 0ktapus, позволяющий создавать реалистичные поддельные страницы аутентификации для сбора учётных данных и кодов многофакторной аутентификации. 0ktapus также имеет встроенный C2 -канал управления средствами Telegram .

В последней серии атак на учётные записи Okta утверждается, что хакеры уже владели необходимыми паролями, принадлежащими привилегированным учётным записям пользователей, или «могли управлять потоком делегированной аутентификации через Active Directory» .

То есть злоумышленники были достаточно подготовлены к звонку в службу технической поддержки Okta, и едва ли можно сказать, что в компрометации учётных записей виноваты сотрудники службы поддержки.

Полученный хакерами доступ к учётным записям суперадминистраторов Okta использовался для предоставления расширенных прав другим учётным записям, сброса настроенных подтверждений подлинности в существующих административных профилях и даже удаления требования второго фактора из общих политик аутентификации.

Чтобы противодействовать подобным атакам, эксперты Okta, испытавшие последствия инцидента на собственной шкуре, рекомендуют следующее:

  • внедрять методы аутентификации, устойчивые к фишингу;
  • ужесточать проверку личности обратившихся в техподдержку пользователей;
  • настроить уведомления о входе с новых устройств и подозрительной активности;
  • ограничивать использование учётных записей суперадминистраторов.
В целом, исследователи кибербезопасности отмечают, что атаки методом социальной инженерии становятся всё более изощренными и трудно распознаваемыми. Компаниям необходимо уделять пристальное внимание защите учётных записей администраторов и обучению сотрудников основам кибербезопасности. Только комплексный подход позволит снизить риски успешных атак.
 
Источник новости
www.securitylab.ru

Похожие темы