W alarmującym incydencie cyberataków, atak phishingowy wymierzony w dostawcę oprogramowania Retool naraził aktywa kryptowalutowe o wartości 15 milionów dolarów na niebezpieczeństwo. Atakujący manipulowali e-mailami i hasłami użytkowników na platformie Retool, wpływając na 27 kont, choć klienci korzystający z oprogramowania Retool w systemie lokalnym nie ucierpieli w wyniku naruszenia zabezpieczeń.
Rozwikłanie oszukańczego ataku phishingowego
27 sierpnia Retool, renomowany dostawca oprogramowania, padł ofiarą dobrze zorganizowanego ataku phishingowego. Atak ten spowodował nieautoryzowany dostęp do kont niektórych klientów korzystających z usług Retool w chmurze. Atakujący sprytnie przeprowadził atak phishingowy oparty na wiadomości SMS, podszywając się pod członka zespołu IT pracującego w Retool.
Atakujący użył oszukańczego pretekstu, twierdząc, że rozwiązuje problem związany z systemami płacowymi i zapisami na ubezpieczenia, wykorzystując tym samym ważny problem dla pracowników – ubezpieczenie zdrowotne. Moment ataku został dobrze zaplanowany i zbiegł się w czasie z migracją logowań do Okta, a wiadomość zawierała adres URL imitujący wewnętrzny portal tożsamości Retool.
Atak phishingowy: bliższe spojrzenie
Choć większość pracowników nie miała kontaktu z fałszywym tekstem, jeden nieszczęśliwy pracownik kliknął w link, co doprowadziło go do fałszywego portalu z prośbami o uwierzytelnianie wieloskładnikowe (MFA). Atakujący rozpoczął następnie rozmowę telefoniczną z pracownikiem, używając głosu generowanego przy użyciu techniki deepfake, aby podszywać się pod członka zespołu IT Retool. Pomimo rosnących podejrzeń, pracownik podał dodatkowy kod MFA, co umożliwiło atakującemu dodanie swojego urządzenia do konta Okta pracownika.
Umożliwiło to atakującemu dostęp do aktywnej sesji GSuite. Co ciekawe, Google niedawno wprowadził funkcję synchronizacji kodów MFA do chmury, co mogło zagrażać bezpieczeństwu. Atakujący skorzystał z tej podatności, ułatwionej przez ciemne wzorce Google promujące synchronizację kodów MFA.
Następstwa ataku
Naruszenie dotyczyło wewnętrznych systemów Retool, w tym VPN i systemów administracyjnych, umożliwiając atak przejęcia konta konkretnych klientów, głównie z branży kryptowalut. Łącznie atakujący zmienili e-maile użytkowników i zresetowali hasła, dotykając 27 kont.
Po odkryciu naruszenia Retool działał szybko. Unieważnił wszystkie wewnętrzne sesje uwierzytelniania, zabezpieczył dotknięte konta, powiadomił dotkniętych klientów i przywrócił ich konta do stanu pierwotnego. Warto zaznaczyć, że klienci korzystający z oprogramowania Retool w systemie lokalnym nie ucierpieli, ponieważ system lokalny działa niezależnie od środowiska chmurowego Retool.
Retool potwierdził, że aktywnie współpracuje z organami ścigania i zewnętrzną firmą forensyczną w celu zbadania naruszenia. Ten incydent stanowi przypomnienie o znaczeniu ciągłej czujności i solidnych środków bezpieczeństwa w świecie cyfrowym, zwłaszcza dla osób zaangażowanych w sektor kryptowalut. Aby śledzić swoje inwestycje w kryptowaluty i być na bieżąco z najnowszymi zagrożeniami cyberbezpieczeństwa, warto skorzystać z aplikacji takiej jak cryptoview.io.
tekst zachęty
