Компания Retool сообщила, что учетные записи 27 ее облачных клиентов были скомпрометированы в результате таргетированной и многоэтапной атаки с использованием социальной инженерии. При этом в компании заявили, что многофакторная аутентификация через Google Authenticator только ухудшила ситуацию.
Платформа Retool предназначена для создания бизнес-ПО и используется различными компаниями, от стартапов до предприятий из списка Fortune 500 (включая Amazon, Mercedes-Benz, DoorDash, NBC, Stripe и Lyft).
Технический руководитель Retool, Снир Кодеш (Snir Kodesh), сообщает, что все взломанные в результате недавней атаки аккаунты принадлежали клиентам, работающим в криптовалютной индустрии.
Сам инцидент произошел еще 27 августа 2023 года. Тогда злоумышленники обошли многочисленные меры безопасности, используя SMS-фишинг и социальную инженерию, чтобы в итоге скомпрометировать учетную запись Okta, принадлежащую одному из сотрудников компании. Хакеры использовали фишинг и URL-адрес, похожий на внутренний адрес портала идентификации Retool, который был запущен ранее, в ходе переноса логинов в Okta.
Хотя большинство сотрудников проигнорировали фишинговое послание хакеров, один из них все же перешел по фишинговой ссылке, якобы пришедшей от члена ИТ-команды компании, которая перенаправляла на фейковый портал входа с многофакторной аутентификацией (МФА).
После этого злоумышленник подделал голос сотрудника ИТ-отдела компании с помощью нейросети и позвонил сотруднику Retool, который клюнул на фишинговую приманку. Хакер обманом вынудил его предоставить дополнительный код МФА, который позволил добавить контролируемое злоумышленниками устройство к учетной записи Okta целевого работника. С этого момента злоумышленники получили возможность создавать собственные коды для Okta МФА. При этом отмечается, что звонивший хорошо подготовился и был знаком с «планировкой офиса, коллегами и внутренними процессами компании».
Теперь компания Retool объясняет успех этой атаки новой функцией в Google Authenticator, которая позволяет пользователям синхронизировать свои коды двухфакторной аутентификации с учетной записью Google.
По словам представителей Retool, именно из-за этой функциональности августовской взлом получился настолько серьезным. Дело в том, что злоумышленник, успешно взломавший учетную запись Google одного из сотрудников, смог получить доступ ко всем кодам 2ФА для внутренних сервисов.
«С помощью этих кодов (и сеанса Okta) злоумышленник получил доступ к нашему VPN и, что еще важнее, к нашим внутренним системам администрирования, — пишет Кодеш. — Это позволило ему провести атаку по захвату учетных записей определенного круга клиентов (все они работают в криптовалютной индустрии), изменить электронную почту пользователей и сбросить пароли. После захвата учетных записей злоумышленник покопался в некоторых приложениях Retool».
Кодеш подчеркивает, что, по мнению Retool, Google следует либо устранить эти темные паттерны (dark patterns) в Google Authenticator, который поощряет сохранение кодов МФА в облаке, либо предоставить организациям возможность отключения этой функциональности.
Здесь стоит отметить, что функция облачной синхронизация в Google Authenticator не является обязательной. Ее можно деактивировать, выбрав опцию «Использовать Authenticator без учетной записи», что приведет к выходу из приложения и удалению синхронизированных кодов 2ФА из учетной записи Google.
После обнаружения инцидента компания Retool аннулировала все внутренние аутентификационные сессии сотрудников, в том числе для Okta и G Suite. Также компания ограничила доступ ко всем 27 скомпрометированным учетным записям и уведомила всех пострадавших клиентов, восстановив исходные конфигурации всех взломанных учетных записей (on-premise клиенты в ходе инцидента не пострадали).
«Это означает, что злоумышленники не могли повлиять на on-premise клиентов, хотя они получили доступ к облаку Retool. Стоит отметить, что подавляющее большинство наших клиентов из числа криптовалютных и крупных компаний используют Retool именно в режиме on-premise», — сообщил Кодеш.
Стоит отметить, что по информации издания Coindesk, взлом Retool может быть связан с кражей 15 млн долларов у Fortress Trust в начале сентября.
Представители Google сообщили журналистам издания Bleeping Computer, что рекомендуют простым пользователям и компаниям переходить с устаревшей многофакторной аутентификации и одноразовых паролей (OTP) на технологию FIDO, которая является простым способом предотвращения подобных атак.
«Риски фишинга и социальной инженерии при использовании устаревших технологий аутентификации (например, основанных на OTP), являются главной причиной того, что отрасль вкладывает значительные средства в развитие технологий на базе FIDO, — говорят в Google. — Пока мы продолжаем работать над этими изменениями, мы хотим, чтобы пользователи Google Authenticator знали, что у них есть выбор: синхронизировать свои OTP с аккаунтом Google или хранить их только локально».
