Компанія-розробник програмного забезпечення Retool стала жертвою smishing-атаки, в результаті якої було скомпрометовано 27 облікових записів її хмарних клієнтів. Фірма звинуватила функцію хмарної синхронізації облікового запису Google в тому, що вона погіршила ситуацію зі зламом, назвавши її “темним шаблоном”.
Як зазначається у релізі компанії, обліковий запис одного з її співробітників був скомпрометований 27 серпня 2023 року за допомогою фішингової атаки зі списом. Після цього зловмисники змогли обійти кілька рівнів контролю безпеки та проникнути в організацію нібито через функцію хмарної синхронізації облікового запису Google.
Хакер розпочав свою атаку, відправивши кільком співробітникам Retool SMS-повідомлення від імені члена IT-команди, щоб нібито розв’язати проблему з виплатою зарплати та наданням медичної страховки. Більшість тих, хто отримав, проігнорували фішингове повідомлення, за винятком одного співробітника.
Співробітник, нічого не підозрюючи, перейшов за посиланням у повідомленні, яке перенаправило його на підроблений інтернет-портал для входу. Після авторизації на сайті, з ним зв’язалися телефоном, використовуючи голос, створений за допомогою технологій штучного інтелекту, що копіював реальний голос співробітника. У розмові хакер, зображуючи члена IT-команди, був знайомий із плануванням офісу, колегами по роботі та внутрішніми процесами компанії. Припускається, що хакер, можливо, частково отримав доступ до ресурсів Retool до цього дзвінка.
Під час бесіди співробітник надав хакеру доступ до одноразових кодів (OTP), що зберігаються в програмі Google Authenticator. Завдяки цьому хакер зміг ефективно обійти багатофакторну аутентифікацію (MFA). Отримавши код двофакторної аутентифікації, зловмисник додав свій пристрій до облікового запису співробітника та отримав доступ до його облікового запису GSuite.
Той факт, що співробітник також активував функцію хмарної синхронізації Google Authenticator, дозволив зловмисникам отримати розширений доступ до внутрішніх систем адміністрування та фактично заволодіти обліковими записами, що належать 27 клієнтам у криптоіндустрії. Зрештою зловмисники змінили електронні адреси цих користувачів і скинули їхні паролі. Fortress Trust, один із постраждалих користувачів, побачив, що в результаті злому було викрадено криптовалюту на суму близько $15 млн, зазначає CoinDesk.
У компанії назвали особливо небезпечним те, що програма Google Authenticator нещодавно додала функцію синхронізації у хмарі. У квітні сервіс отримав функцію синхронізації з обліковим записом Google. Це означає, що коди MFA тепер можна переглядати на декількох пристроях, пов’язаних з обліковим записом.
За словами компанії, саме доступ до облікового запису Google дозволив зловмиснику проникнути у внутрішні системи компанії. Якщо акаунт Google скомпрометований, MFA-коди також знаходяться під загрозою.
Retool вже позбавила хакера доступу, але вирішила розкрити інформацію про те, що сталося, щоб застерегти інші компанії. Вони також закликали Google змінити свою програму автентифікації, щоб компанії могли легко відключати функцію синхронізації у хмарі для своїх співробітників.
