Die Hacker, die Anfang dieses Monats in Twilio eingedrungen sind, haben während ihrer Hacking-Tour, bei der die Anmeldeinformationen von fast 10.000 Mitarbeitern verrechnet wurden, auch über 130 Organisationen kompromittiert.
Der jüngste Netzwerkeinbruch von Twilio ermöglichte es den Hackern, auf die Daten von 125 Twilio-Kunden und -Unternehmen zuzugreifen – einschließlich der Ende-zu-Ende-verschlüsselten Messaging-App Signal – nachdem sie Mitarbeiter dazu verleitet hatten, ihre Firmenanmeldedaten und Zwei-Faktor-Codes aus angeblichen SMS-Phishing-Nachrichten zu übergeben kommen aus der IT-Abteilung von Twilio. Damals erfuhr Tech von Phishing-Seiten, die sich als andere Unternehmen ausgaben, darunter ein US-Internetunternehmen, ein IT-Outsourcing-Unternehmen und ein Kundendienstanbieter, aber das Ausmaß der Kampagne blieb unklar.
Jetzt sagt das Cybersicherheitsunternehmen Group-IB, dass der Angriff auf Twilio Teil einer umfassenderen Kampagne der Hackergruppe war, die es „0ktapus“ nennt, ein Hinweis darauf, wie die Hacker hauptsächlich Organisationen ins Visier nehmen, die Okta als Single-Sign-On-Anbieter verwenden.
Group-IB, das eine Untersuchung einleitete, nachdem einer seiner Kunden von einem verknüpften Phishing-Angriff betroffen war, sagte in Ergebnissen, die Tech mitgeteilt wurden, dass die überwiegende Mehrheit der angegriffenen Unternehmen ihren Hauptsitz in den USA haben oder Mitarbeiter in den USA haben. Die Angreifer haben laut den Ergebnissen von Group-IB seit März mindestens 9.931 Benutzeranmeldeinformationen gestohlen, von denen mehr als die Hälfte erbeutete Multi-Faktor-Authentifizierungscodes enthalten, die für den Zugriff auf das Netzwerk eines Unternehmens verwendet werden.
„In vielen Fällen gibt es Bilder, Schriftarten oder Skripte, die so einzigartig sind, dass sie verwendet werden können, um Phishing-Websites zu identifizieren, die mit demselben Phishing-Kit erstellt wurden“, sagte Roberto Martinez, Senior Threat Intelligence Analyst bei Group-IB, gegenüber Tech. „In diesem Fall haben wir ein Bild gefunden, das rechtmäßig von Websites verwendet wird, die die Okta-Authentifizierung nutzen, und vom Phishing-Kit verwendet wird.“
„Sobald wir eine Kopie des Phishing-Kits gefunden hatten, begannen wir, tiefer zu graben, um die Bedrohung besser zu verstehen. Die Analyse des Phishing-Kits ergab, dass es schlecht konfiguriert war und die Art und Weise, wie es entwickelt wurde, die Möglichkeit bot, gestohlene Zugangsdaten für weitere Analysen zu extrahieren“, sagte Martinez.
Obwohl immer noch nicht bekannt ist, wie die Hacker an Telefonnummern und die Namen von Mitarbeitern gelangten, denen dann SMS-Phishing-Nachrichten gesendet wurden, stellt Group-IB fest, dass der Angreifer zuerst auf Mobilfunkbetreiber und Telekommunikationsunternehmen abzielte und „die Nummern dieser ersten Angriffe hätte sammeln können. ”
Group-IB wollte die Namen der Firmenopfer nicht offenlegen, sagte aber, die Liste enthalte „bekannte Organisationen“, von denen die meisten IT-, Softwareentwicklungs- und Cloud-Dienste anbieten. Eine Tech mitgeteilte Aufschlüsselung der Opfer zeigt, dass die Bedrohungsakteure auch 13 Organisationen in der Finanzbranche, sieben Einzelhandelsgiganten und zwei Videospielorganisationen ins Visier genommen haben.
Während seiner Untersuchung entdeckte Group-IB, dass der Code im Phishing-Kit des Hackers Konfigurationsdetails des Telegram-Bots enthüllte, den die Angreifer verwendeten, um kompromittierte Daten zu löschen. (Wolkenflare zuerst aufgedeckt die Verwendung von Telegram durch die Hacker.) Group-IB identifizierte einen der Administratoren der Telegram-Gruppe, der unter dem Handle „X“ bekannt ist, dessen GitHub- und Twitter-Handles vermuten lassen, dass er in North Carolina ansässig sein könnte.
Group-IB sagt, es sei noch nicht klar, ob die Angriffe Ende-zu-Ende im Voraus geplant waren oder ob in jeder Phase opportunistische Maßnahmen ergriffen wurden. „Unabhängig davon war die 0ktapus-Kampagne unglaublich erfolgreich, und das volle Ausmaß ist möglicherweise noch einige Zeit nicht bekannt“, fügte das Unternehmen hinzu.
Das in Moskau gegründete Startup Group-IB wurde von Ilya Sachkov mitbegründet, der bis September 2021 Geschäftsführer des Unternehmens war, als Sachkov wegen Hochverrats in Russland festgenommen wurde, nachdem er angeblich geheime Informationen an eine namentlich nicht genannte ausländische Regierung weitergegeben hatte, behauptet Sachkov. Group-IB, das seinen Hauptsitz inzwischen nach Singapur verlegt hat, beteuert die Unschuld des Mitbegründers.