0ktapus Phishing Kit

פושעי סייבר הצליחו לפרוץ למעלה מ-130 ארגונים כחלק משורה של מתקפות סייבר. המבצעים הפליליים מתחילים במסע דיוג נרחב ומעוצב תוך שימוש בערכת דיוג בשם '0ktapus'. על פי דיווח של חוקרי אבטחה, שחקני האיום הצליחו לאסוף כמעט 10,000 אישורי כניסה תוך מספר חודשים בלבד. על פי ההערכות, הפעולה הייתה פעילה לפחות מאז מרץ 2022. נראה שהמטרה של קמפיין 0ktapus הייתה גניבת תעודות זהות של Okta וקודי 2FA (הרשאות דו-גורמיות). עם הנתונים הסודיים שהושגו, פושעי הסייבר שאפו לבצע פעולות עוקבות, כגון התקפות שרשרת האספקה.

על פי הדיווח, ערכת הדיוג של 0ktapus מונפה כנגד חברות ממגזרי תעשייה רבים, כולל פיננסים, קריפטו, טכנולוגיה, גיוס עובדים, טלקומוניקציה ועוד רבים. חלק מהחברות הממוקדות הן AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy ואחרות.

ההתקפות מתחילות בהודעות SMS פיתוי המכילות קישור לעמוד דיוג. האתר דומה מאוד לדף ההתחברות הלגיטימי של Okta ומבקש מהמשתמשים לספק את אישורי החשבון שלהם וקודי 2FA. Okta היא פלטפורמת IDaaS (Identity-as-a-Service), שמשמעותה בעצם היא שעובדים יכולים להשתמש בחשבון התחברות יחיד ובאישורים כדי לגשת לכל נכסי התוכנה שהם צריכים בחברה שלהם. האישורים שהוזנו וקודי 2FA נגרדו על ידי האתר המזויף והועברו לחשבון טלגרם בשליטת ההאקרים.

באופן טבעי, פגיעה באישורי Okta של העובדים הממוקדים תאפשר לתוקפים לבצע מגוון עצום של פעולות מרושעות בתוך הארגונים שהופרו. והם עשו זאת, כששחקני האיום קיבלו גישה לרשתות VPN ארגוניות, רשתות, מערכות תמיכת לקוחות פנימיות וכו'. נתוני הלקוחות שנאספו נוצלו על ידי פושעי הסייבר לביצוע התקפות שרשרת האספקה המכוונות ללקוחות של Signal ו-DigitalOcean.

קמפיין הדיוג 0ktapus הוביל גם לפרצות נתונים בארגונים גדולים, כמו Twilio, Klaviyo, MailChimp וניסיון התקפה נגד Cloudflare. עד כה, חוקרים זיהו 169 תחומי דיוג ייחודיים שגורמי האיום יצרו כחלק ממבצע 0ktapus. הדפים המפוברקים תוכננו כך שידמו לנושא המתאים של כל חברה ממוקדת, ובמבט ראשון נראה שהם הפורטלים הלגיטימיים שבהם משתמשים הקורבנות מדי יום. במסגרת המתקפה, הצליחו שחקני האיום לאסוף 9,931 אישורים מעובדי 136 חברות, 3,129 רשומות עם מיילים ובסך הכל 5,441 רשומות המכילות קודי MFA.