Основной вектор атаки был известен уже в августе: это массовая рассылка фишинговых SMS сотрудникам компании с предложением сбросить пароль к рабочей учетной записи. Ссылка в сообщении вела на один из (как позднее выяснилось) десятков фишинговых сайтов, заранее подготовленных с учетом данных о реальной инфраструктуре компании. В Twilio не указывают, сколько именно сотрудников получили сообщения и как часто они передавали свои пароли злоумышленникам. Но из отчета Cloudflare об их противодействия похожей атаке известно, что из 76 сотрудников, получивших сообщение, свой пароль на фишинговом сайте ввели трое. В финальном отчете о расследовании Twilio раскрыла еще один вектор атаки: злоумышленники звонили сотрудникам голосом.
Голосовая атака произошла еще в конце июня 2022 года: сотруднику компании позвонил человек, представившийся сотрудником техподдержки, и уговорил передать пароль от учетной записи. Неавторизованный доступ к внутренним системам Twilio тогда был обнаружен и закрыт через 12 часов. В середине июля прошла вторая атака, уже с массовой рассылкой фишинговых SMS работникам. В результате атаки злоумышленники получили доступ к инфраструктуре Twilio, в том числе к данным клиентов. Но только к данным (через условную «админку»): организаторам атаки не удалось похитить сами учетные записи пользователей сервисов Twilio.
Доступ сохранялся достаточно долго — в Twilio не раскрывают конкретной даты начала SMS-атаки, но последний неавторизованный доступ был закрыт только 9 августа. Получается, две-три недели злоумышленники имели доступ к информации, компрометирующей не только Twilio, но и ее клиентов. Представляют интерес действия Twilio по устранению последствий атаки и снижения вероятности подобных атак в будущем. Для устранения последствий были приняты ожидаемые меры: пароли пострадавших сотрудников были сброшены, сессии во внутренних сервисах принудительно прекращены.
В списке действий по недопущению таких атак упоминается полезная идея разграничения доступа к данным клиентов — так, чтобы они были видны только тем сотрудникам, которым это реально необходимо. Были введены меры «дополнительного контроля активности» внутри корпоративной сети, при доступе к ней снаружи через VPN. Для сотрудников провели обязательные тренинги по атакам с использованием социальной инженерии. Впрочем, самой действенной мерой, скорее всего, станет раздача всем сотрудникам аппаратных ключей, работающих по стандарту FIDO2. Именно аппаратные ключи, которые в принципе не позволяют украсть секрет через фишинговый сайт, помогли компании Clouflare предотвратить аналогичную атаку. История атаки на Twilio, таким образом, — это пример настойчивости злоумышленников, которые несколько раз используют, в принципе, одни и те же методы социальной инженерии. И они, к сожалению, работают, что желательно учитывать в стратегии защиты.
Что еще произошло:
Прошедшая неделя отметилась закрытием двух уязвимостей zero-day. В iOS и iPadOS была ошибка, приводящая к записи данных в оперативную память за пределами отведенного диапазона адресов. В браузере Google Chrome уязвимость в движке Javascript V8. Для Apple это девятая уязвимость zero-day с начала 2022 года, для браузера Chrome — седьмая.
Компания Apple тем временем запустила отдельный , на котором собраны все данные по безопасности и взаимодействию с независимыми исследователями в рамках программы bug bounty. За два с половиной года существования программы выплат за найденные уязвимости на нее было больше 20 миллионов долларов. В 20 случаях исследователям, обнаружившим наиболее опасные ошибки в коде Apple, было выплачено по сто тысяч долларов или больше. Компания обещает улучшить прозрачность взаимодействия с независимыми специалистами и более оперативно реагировать на полученную информацию. До сих пор по этим двум критериям взаимодействие с Apple оставляло желать лучшего.
Издание Bleeping Computer об интересном баге в Windows, который позволяет не выводить предупреждение при запуске исполняемого файла, загруженного из интернета. Если добавить к файлу поврежденную цифровую подпись, файл молча запускается. Баг уже используется в атаках, где пользователям рассылаются зараженные javascript-файлы, которые в свою очередь шифруют данные. Официальный патч пока не выпущен, но есть сторонняя заплатка.
