Retool обвинює Google Authenticator: викрадено $15 мільйонів у криптовалюті
Дата: 2023-09-18 Автор: Dima Zakharov Категорії: В СВІТІ
"Темний шаблон" Google Authenticator
Retool, заснована в Сан-Франциско, покладає вину на функцію, нещодавно представлену Google в квітні 2023 року, називаючи її "темним шаблоном". Вони стверджують, що ця функція дозволила зловмисникам отримати доступ до одноразових кодів (OTP), які зберігалися в додатку Google Authenticator, ефективно обходячи багатофакторну аутентифікацію (MFA).
"Той факт, що Google Authenticator синхронізується з хмарою, є новим вектором атаки", - сказав Снір Кодеш, технічний директор Retool. "Спочатку ми впровадили багатофакторну аутентифікацію. Проте завдяки цьому оновленню Google те, що раніше було багатофакторною аутентифікацією, непомітно для адміністраторів перетворилося на однофакторну аутентифікацію".
Retool стверджує, що подія, яка сталася 27 серпня 2023 року, не дозволяла несанкціонованому доступу до поточних чи керованих облікових записів. Це також збіглося з перенесенням компанією своїх входів в Okta.
Початок: SMS-фішинг і підробка голосу
Все почалося з SMS-фішингової атаки, спрямованої на співробітників Retool, де зловмисники видали себе за членів ІТ-команди, вказуючи отримувачам перейти за видимо законною посиланням для вирішення питання, пов'язаного з виплатою зарплати.
Один співробітник попався в пастку фішингу, що привело його на підроблену сторінку, де його обманом змусили надати свої облікові дані. На наступному етапі атаки хакери подзвонили співробітнику, знову видаючи себе за працівника ІТ-служби, і навіть імітували його "реальний голос", щоб отримати код MFA.
"Додатковий токен OTP, обмінюваний під час дзвінка, був критично важливим, оскільки він дозволив зловмиснику додати свій власний пристрій до облікового запису Okta співробітника, що дозволило їм створювати власні Okta MFA з цього моменту", - пояснив Кодеш. "Це дозволило їм мати активну сесію G Suite [тепер Google Workspace] на цьому пристрої".
Той факт, що співробітник також активував функцію синхронізації з хмарою Google Authenticator, дозволив загрозам отримати розширений доступ до внутрішніх систем адміністрування компанії і ефективно захопити облікові записи 27 клієнтів з криптовалют, що працюють у криптоіндустрії.
"Оскільки контроль над обліковим записом Okta означав контроль над обліковим записом Google, це призвело до контролю над усіма OTP, які зберігалися в Google Authenticator", - відзначив Кодеш.
Наслідки: Викрадена криптовалюта
В кінцевому підсумку зловмисники змінили електронні листи цих користувачів і скинули їх паролі. В результаті злому компанія Fortress Trust, один із постраждалих користувачів, втратила приблизно $15 мільйонів у криптовалюті.
Ця кібератака служить яскравим нагадуванням про постійну складність кіберзагроз і важливість постійної пильності і заходів безпеки для захисту цінних активів в світі криптовалют. Компанії повинні залишатися активними в протидії таким загрозам, щоб захистити як своїх клієнтів, так і свою репутацію.
