Взлом сервис-провайдера Twilio мы уже в дайджестах за август, но только к концу месяца стало понятно, что последствия этой кибератаки серьезнее, чем предполагалось ранее. В результате хорошо подготовленной фишинговой атаки был получен доступ к админской консоли Twilio, а через нее — к кодам двухфакторной авторизации клиентов компании. Среди пострадавших организаций в итоге оказались не только Signal, но и служба аутентификации Okta. Предположительно от тех же взломщиков пострадали разработчик менеджера паролей Lastpass и сервис доставки еды DoorDash.
Дело в том, что Twilio — сервис доставки SMS. Компании используют его, например, для отправки сообщений о доставке товара, но также и для пересылки одноразовых кодов аутентификации на различных сервисах. Как выяснилось (сводку последствий издание Ars Technica), не только взлом Twilio использовали для атак на другие компании. Похожие фишинговые атаки были проведены в отношении десятков организаций.
Компания Twilio детали атаки на ее инфраструктуру 7 августа. О взломе они узнали самым неприятным способом — из сообщений об атаках на собственных клиентов, которые начали поступать 4 августа. Расследование показало, что в какой-то момент нынешние и бывшие сотрудники компании начали получать на свои мобильные телефоны SMS якобы от IT-департамента Twilio с просьбой «повторно авторизовать» свой рабочий аккаунт. Пример такого SMS показан на скриншоте выше. Ссылка в сообщении вела на фишинговый сайт, на котором кто-то из сотрудников ввел свой логин и пароль, а также дополнительный одноразовый код. Организаторы атаки таким образом получили доступ к внутренней системе Twilio, с помощью которого некоторое время могли отслеживать сообщения, отправляемые клиентам. Так как Twilio использовался в том числе для рассылки одноразовых кодов для входа на другие сервисы, появилась возможность атаковать и их тоже.
Всего, по данным Twilio на 24 августа, злоумышленники получили доступ к данным 163 клиентов компании (из 270 тысяч). Кроме того, пострадал сервис Authy, также принадлежащий Twilio и предоставляющий API для двухфакторной аутентификации. Там был получен доступ к 93 аккаунтам пользователей. По умолчанию дополнительная аутентификация в этом сервисе допускается с множества устройств. Злоумышленники воспользовались этим, добавив «лишнее» устройство для пострадавших аккаунтов. Компания уведомила пользователей, чьи аккаунты были атакованы, отвязала вредоносные устройства от пострадавших учеток и выпустила , после применения которых работать с сервисом можно будет только с одного устройства.
После взлома Twilio стало о частичной компрометации 1900 аккаунтов в мессенджере Signal. Имея доступ к админской консоли Twilio, взломать учетки Signal было легко, если пользователи полагались только на авторизацию через SMS, без дополнительного пароля. Достаточно было запросить авторизацию для нового устройства по номеру телефона и перехватить одноразовый код через Twilio.
25 августа свой отчет компания Okta. Она предоставляет инфраструктуру для авторизации сотрудников и использует Twilio в качестве одного из поставщиков сервиса SMS-рассылок. Отчет приводит чуть больше деталей о взломе Twilio. Например, по умолчанию доступ к консоли Twilio давал злоумышленникам информацию о 50 последних SMS, отправленных через аккаунт клиента. Была возможность поиска по номеру телефона: по данным Okta, организаторы атаки «пробивали» 38 номеров телефонов, принадлежащих в большинстве своем сотрудникам одной компании (ее название не раскрывается). Чтобы инициировать отправку одноразового кода, злоумышленники пытались подобрать пароли пользователей, используя многочисленные утекшие в сеть базы паролей. В отчете также говорится, что в ряде случаев сотрудникам не только рассылались фишинговые SMS, но также поступали звонки «от человека, чисто говорившего по-английски с североамериканским акцентом».
Самым громким событием прошлой недели стал частичный взлом инфраструктуры сервиса по хранению паролей Lastpass ( компании, на Хабре). По сообщению Lastpass, через скомпрометированный аккаунт разработчика был получен доступ к исходному коду и внутренним документам. Данные пользователей не пострадали. Lastpass также не устает напоминать, что мастер-пароль от хранилища пользовательской информации вообще не доступен компании ни при каких обстоятельствах. Надо отметить, что Lastpass официально не связывает инцидент ни со взломом Twilio, ни с масштабной фишинговой атакой — вывод о связи этого инцидента с другими делают СМИ.
А вот DoorDash, хоть и не называет Twilio напрямую, об успешной фишинговой атаке и компрометации одного из поставщиков IT-систем. В ходе атаки был получен доступ к именам и адресам доставки «небольшого числа клиентов». В некоторых случаях атакующие смогли получить данные о типе платежной карты и последним четырем цифрам номера. Если уж говорить о простом совпадении по датам, то 24 августа об утечке данных разработчик стримингового сервиса Plex: утекли пользовательские данные, включая хешированные с солью пароли, но никаких других деталей об атаке не приводится.
В опубликованном на прошлой неделе компании Group-IB приводятся детали расследования фишинговой кампании, жертвой которой стала Twilio. По их данным, разветвленная сеть фишинговых веб-страниц в комбинации с таргетированной рассылкой SMS привела к компрометации почти 10 тысяч аккаунтов в 136 организациях, большинство из них — разработчики ПО и сервисов, а также телекоммуникационные компании.
Среди всех сообщений об этой организованной атаке особняком стоит компании Cloudflare, опубликованный 9 августа, через два дня после сообщения Twilio. В Cloudflare говорят о том, что подверглись очень похожей атаке примерно в то же время, и отмечают высокий уровень подготовки злоумышленников. Организаторы заранее собрали данные о мобильных телефонах сотрудников, произвели координированную рассылку фишинговых SMS. Всего такие сообщения получили 76 сотрудников, трое из них ввели свои данные на фишинговом сайте. Фишинговый домен был зарегистрирован за сорок минут до атаки, что позволило обойти мониторинг фишинговых доменов, используемый Cloudflare. После ввода логина, пароля и одноразового кода на компьютер жертвы также загружался клиент AnyDesk для удаленного подключения к ПК. Самое примечательное, что атака на Cloudflare оказалась неудачной: сотрудники компании используют аппаратные ключи Yubikey с технологией Token Binding. То есть одноразовый пароль не будет работать при попытке залогиниться после его перехвата.
Случай Cloudflare показывает, что проблему фишинга можно решить (или, скорее, значительно усложнить атаку) при помощи технологий. Иные рекомендации, кроме усиления технологической защиты, сводятся к дополнительному обучению сотрудников, чтобы они могли уверенно распознавать фишинговую атаку и игнорировать SMS или даже звонки якобы «от айтишников» с просьбой передать какие-то данные для входа.
Что еще произошло
Эксперты «Лаборатории Касперского» опубликовали серию регулярных отчетов об эволюции кибербезопасности за второй квартал 2022 года. В отчет входят обзорная о наиболее значимых инцидентах, статистика угроз для и , а также отдельный материал по .
Недавнее разбирает нестандартную вредоносную атаку, жертвы которой получают сообщения якобы о бронировании для них гостиницы или авиабилетов. Интерес представляет использование для доставки вредоносного ПО архива, в котором содержится .bat-файл и «образ диска» в формате ISO. По мнению авторов отчета, данный метод организаторы начали применять после того, как компания Microsoft объявила о запрете выполнения макросов в файлах, скачанных из сети. До этого вредоносный код распространялся этой же группировкой как раз в виде «заряженных» офисных документов.
