0ktapus Phishing Kit

Küberkurjategijatel on õnnestunud küberrünnakute jada osana murda üle 130 organisatsiooni. Kuritegelikud toimingud algavad laialt levinud ja hästi koostatud andmepüügikampaaniaga, milles kasutatakse andmepüügikomplekti nimega '0ktapus'. Turvauurijate raporti kohaselt suutsid ohutegijad vaid paari kuuga koguda ligi 10 000 sisselogimismandaati. Arvatakse, et operatsioon on olnud aktiivne vähemalt 2022. aasta märtsist. Näib, et 0ktapuse kampaania eesmärk oli Okta identiteedimandaatide ja 2FA (kahefaktoriline autoriseerimine) koodide vargus. Saadud konfidentsiaalsete andmetega võtsid küberkurjategijad sihiks järgnevaid toiminguid, näiteks tarneahela rünnakuid.

Aruande kohaselt kasutati andmepüügikomplekti 0ktapus mitmete tööstusharude ettevõtete vastu, sealhulgas rahandus, krüpto, tehnoloogia, värbamine, telekommunikatsioon ja palju muud. Mõned sihitud ettevõtted on AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy ja teised.

Rünnakud algavad ahvatlevate SMS-sõnumitega, mis sisaldavad linki andmepüügilehele. Veebisait sarnaneb väga legitiimse Okta sisselogimislehega ja palub kasutajatel esitada oma konto mandaadid ja 2FA-koodid. Okta on IDaaS-i (Identity-as-a-Service) platvorm, mis sisuliselt tähendab, et töötajad saavad kasutada ühte sisselogimiskontot ja mandaate, et pääseda ligi kogu ettevõttes vajalikule tarkvaravarale. Sisestatud mandaadid ja 2FA-koodid kraabiti võltsitud saidilt ja edastati telegrammi kontole, mida häkkerid kontrollisid.

Loomulikult võimaldaks sihikule võetud töötajate Okta mandaatide kahjustamine ründajatel rikutud organisatsioonides sooritada paljusid pahatahtlikke toiminguid. Ja seda nad ka tegid, kuna ohus osalejad said juurdepääsu ettevõtte VPN-idele, võrkudele, sisemistele klienditoe süsteemidele jne. Küberkurjategijad kasutasid kogutud kliendiandmeid ära Signali ja DigitalOceani klientidele suunatud tarneahela rünnakute läbiviimiseks.

Andmepüügi 0ktapuse kampaania on toonud kaasa ka andmete rikkumisi suuremates organisatsioonides, nagu Twilio, Klaviyo, MailChimp ja rünnakukatse Cloudflare'i vastu. Seni on teadlased tuvastanud 169 ainulaadset andmepüügidomeeni, mille ohus osalejad lõid 0ktapuse operatsiooni osana. Väljamõeldud lehed kujundati nii, et need sarnaneksid iga sihitud ettevõtte sobiva teemaga ja esmapilgul näisid olevat legitiimsed portaalid, mida ohvrid igapäevaselt kasutavad. Rünnaku raames on ohutegijatel õnnestunud koguda 136 ettevõtte töötajatelt %6$s1 mandaati, 3129 kirjet e-kirjadega ja kokku 5441 MFA-koode sisaldavat kirjet.