Чужой среди своих: хакеры получили привилегии суперадминистратора в системах компании Okta

Американская компания Okta, специализирующаяся на управлении цифровыми удостоверениями личности, сообщила 31 августа о серии атак с использованием методов социальной инженерии на своих специалистов.

Злоумышленники обращались в службы техподдержки клиентов Okta, выдавая себя за реальных сотрудников компании. Целью хакеров было отключение многофакторной аутентификации (MFA) и получение доступа к высокопривилегированным учётным записям сотрудников.

После получения желаемого доступа хакеры злоупотребляли правами суперадминистраторов Okta для того, чтобы имитировать действия легитимных пользователей и скрыть факт атаки. Сама атака была зафиксирована в период с 29 июля по 19 августа текущего года.

Okta не раскрыла какие-либо подробности о причастных хакерах, однако независимые исследователи полагают, что их методы, предположительно, соответствуют группировке Muddled Libra, о которой мы рассказывали в июне этого года.

В основе атак лежит коммерческий фишинговый инструмент 0ktapus, позволяющий создавать реалистичные поддельные страницы для сбора учётных данных и кодов многофакторной аутентификации. В 0ktapus также реализованы C2-коммуникации через Telegram.

В последней серии атак на учётные записи Okta утверждается, что хакеры уже владели необходимыми паролями, принадлежащими привилегированным учётным записям пользователей, или «могли управлять потоком делегированной аутентификации через Active Directory».

То есть злоумышленники были достаточно подготовлены к звонку в службу технической поддержки Okta, и едва ли можно сказать, что в компрометации учётных записей виноваты сотрудники службы поддержки.

Полученный хакерами доступ к учётным записям суперадминистраторов Okta использовался для предоставления расширенных прав другим учётным записям, сброса настроенных подтверждений подлинности в существующих административных профилях и даже удаления требования второго фактора из общих политик аутентификации.

Чтобы противодействовать подобным атакам, эксперты Okta, испытавшие последствия инцидента на собственной шкуре, рекомендуют следующее:

• внедрять методы аутентификации, устойчивые к фишингу;
• ужесточать проверку личности обратившихся в техподдержку пользователей;
• настроить уведомления о входе с новых устройств и подозрительной активности;
• ограничивать использование учётных записей суперадминистраторов.

В целом, исследователи кибербезопасности отмечают, что атаки методом социальной инженерии становятся всё более изощренными и трудно распознаваемыми. Компаниям необходимо уделять пристальное внимание защите учётных записей администраторов и обучению сотрудников основам кибербезопасности. Только комплексный подход позволит снизить риски успешных атак.