Google Authenticator обвиняется Retool: украдено $15 миллионов в криптовалюте
Дата: 2023-09-18 Автор: Dima Zakharov Категории: В МИРЕ
"Тёмный шаблон" Google Authenticator
Retool, сидящая в Сан-Франциско, указала на функцию, недавно представленную Google в апреле 2023 года, называя ее "тёмным шаблоном". Они утверждают, что эта функция позволила злонамеренным акторам получить доступ к одноразовым кодам (OTP), хранившимся в приложении Google Authenticator, эффективно обходя многофакторную аутентификацию (MFA).
"Факт того, что Google Authenticator синхронизируется с облаком, представляет собой новый вектор атаки", - сказал Снир Кодеш, технический директор Retool. "Изначально мы внедрили многофакторную аутентификацию. Однако благодаря этому обновлению Google то, что ранее было многофакторной аутентификацией, незаметно для администраторов превратилось в однофакторную аутентификацию".
Retool утверждает, что инцидент, произошедший 27 августа 2023 года, не допускал несанкционированного доступа к текущим или управляемым аккаунтам. Это также совпало с переносом компанией своих логинов в Okta.
Начало: SMS-фишинг и подделка голоса
Все началось с SMS-фишинговой атаки, нацеленной на сотрудников Retool, где злоумышленники выдавали себя за членов ИТ-команды, указывая получателям перейти по видимо законной ссылке для решения вопроса, связанного с выплатой заработной платы.
Один сотрудник попал в ловушку фишинга, что привело его на поддельную страницу, где его обманом заставили предоставить свои учетные данные. На следующем этапе атаки хакеры позвонили сотруднику, снова выдавая себя за сотрудника И
Т-службы, и даже имитировали его "реальный голос" для получения кода MFA.
"Дополнительный токен OTP, обмениваемый во время звонка, был критически важен, так как он позволил злоумышленнику добавить свое собственное устройство к аккаунту Okta сотрудника, что позволило им создавать собственные Okta MFA с этого момента", - пояснил Кодеш. "Это позволило им иметь активную сессию G Suite [теперь Google Workspace] на этом устройстве".
Факт того, что сотрудник также активировал функцию синхронизации с облаком Google Authenticator, позволил угрозам получить расширенный доступ к внутренним системам администрации компании и эффективно захватить аккаунты 27 клиентов криптовалют, работающих в криптоиндустрии.
"Поскольку контроль над аккаунтом Okta означал контроль над аккаунтом Google, это привело к контролю над всеми OTP, хранившимися в Google Authenticator", - отметил Кодеш.
Последствия: Украденная криптовалюта
В конечном итоге злоумышленники изменили электронные почты этих пользователей и сбросили их пароли. В результате взлома у Fortress Trust, одного из пострадавших пользователей, была украдена криптовалюта на сумму около $15 миллионов.
Эта кибератака служит ярким напоминанием о развивающейся сложности киберугроз и важности постоянного бдительности и мер безопасности для защиты ценных активов в мире криптовалюты. Компании должны оставаться активными в борьбе с такими угрозами для защиты как своих клиентов, так и своей репутации.
