Okta upozorava na napade društvenog inžinjeringa
Pružalac usluga provjere identiteta, kompanija Okta je upozorila korisnike na napade društvenog inžinjeringa koji organizuju zlonamjerni akteri kako bi dobili pristup administratorskim nalozima.
Okta
Kompanija Okta korisnicima pruža usluge upravljanja identitetom koje omogućavaju pristup bilo kom poslodavcu bilo kojoj aplikaciji na bilo kom uređaju uz korištenje tehnologije oblaka da pomogne preduzećima da upravljaju i obezbijede autentifikaciju korisnika u aplikacijama. Prodaje različite usluge, uključujući jednokratno prijavljivanje, što je jedan od najvećih programa, jer ima jedinstvenu karakteristiku omogućavanja korisnicima da se prijave na mnoge aplikacije putem jednog centralizovanog procesa.
Okta, napad društvenog inžinjeringa
Prema analizi Okta bezbjednosnog tima, zlonamjerni akteri koriste taktiku društvenog inženjeringa da bi dobili pristup privilegovanim nalozima, posebno onima sa dozvolama super administratora (Okta Super Administrator). Napadači ubjeđuju osoblje IT službe za pomoć da resetuje sve višefaktorske autentifikacije (MFA) koje su upisali visoko privilegovani korisnici.
Jednom kada dobiju pristup privilegovanom nalogu, napadači onda koriste svoj pristup visoko privilegovanim Okta Super Administrator nalozima da zloupotrebe legitimne funkcije koje im omogućavaju da se lažno predstavljaju kao korisnici unutar ugrožene organizacije.
“Posljednjih nedjelja, više klijenata kompanije Okta sa sjedištem u SAD prijavilo je konzistentan obrazac napada društvenog inženjeringa na osoblje IT servisa, u kojem je strategija pozivaoca bila da ubijedi osoblje servisne službe da resetuje sve višefaktorske autentifikacije (MFA) registrovane od strane visoko privilegovanih korisnika.
Napadači su zatim iskoristili svoj pristup visoko privilegovanim Okta Super Administrator nalozima da zloupotrebe legitimne funkcije federacije identiteta koje su im omogućile da se lažno predstavljaju kao korisnici unutar kompromitovane organizacije.”
– Kompanija Okta –
Scattered Spider
Prema riječima šefa obezbjeđenja kompanije Okta Dejvida Bredberija (David Bradbury), kampanja je primijećena 29. jula i nastavila se do 19. avgusta. Kompanija nema podatke koji su korisnici njihovih usluga ciljani, ali za vrijeme praćenja ove kampanje, četiri klijenta kompanije su pogođena ovim napadom. U kompaniji Okta sumnjaju da iza ove kampanje napada na njihove korisnike usluga stoji zlonamjerna grupa poznata pod nazivom Scattered Spider, iako još nema pouzdanih dokaza.
Grupa Scattered Spider (poznata još pod nazivom Roasted 0ktapus, UNC3944) koristi kombinaciju pecanja korisničkih akreditiva i društvenog inženjeringa za hvatanje jednokratnih lozinki (OTP) kôdova ili preplavljuje mete koristeći taktiku zamora obavještenja višefaktorske autentifikacije (MFA). Prilikom dobijanja pristupa, ova grupa izbjegava korištenje zlonamjernog softvera, umjesto toga favorizuje širok spektar legitimnih alata za daljinsko upravljanje kako bi održala stečeno uporište.
U ovom napadu se pretpostavlja da zlonamjerni akteri već posjeduju lozinke koje pripadaju privilegovanim korisničkim nalozima ili “mogu da manipulišu Active Directory (AD) delegiranim tokom autentifikacije” prije nego što upute poziv osoblju IT službe ciljane kompanija sa zahtjevom resetovanje svih MFA povezanih sa nalogom.
Zaštita
U cilju zaštite, kompanija Okta preporučuje korisnicima svojih usluga da primjenjuju autentifikaciju otpornu na phishing napade ojačaju procese verifikacije identiteta u službi za pružanje korisničke podrške, omoguće obavještenja o novim uređajima i sumnjivim aktivnostima krajnjim korisnicima i pregledaju i ograniče upotrebu uloga super administratora.