La società di software Retool afferma che gli account di 27 clienti cloud sono stati compromessi a seguito di un attacco di social engineering mirato e in più fasi.
Snir Kodesh, responsabile tecnico di Retool, ha rivelato che tutti gli account violati appartengono a clienti del settore delle criptovalute.
La violazione è avvenuta il 27 agosto, dopo che gli aggressori hanno aggirato diversi controlli di sicurezza utilizzando phishing via SMS e social engineering per compromettere l’account Okta di un dipendente IT.
L’attacco ha utilizzato un URL che impersonava il portale di identità interno di Retool ed è stato lanciato durante una migrazione degli accessi a Okta precedentemente annunciata.
Mentre la maggior parte dei dipendenti presi di mira ha ignorato il messaggio di testo di phishing, uno ha fatto clic sul collegamento di phishing incorporato che reindirizzava a un portale di accesso falso con un modulo di autenticazione a più fattori (MFA).
Dopo aver effettuato l’accesso, l’aggressore ha effettuato un deepfake della voce di un dipendente e ha chiamato il membro del team IT preso di mira, inducendolo a fornire un codice MFA aggiuntivo, che ha consentito l’aggiunta di un dispositivo controllato dall’aggressore all’account Okta del dipendente preso di mira.
Retool attribuisce il successo dell’hacking a una nuova funzionalità di Google Authenticator che consente agli utenti di sincronizzare i propri codici 2FA con il proprio account Google.
Una funzionalità richiesta da molto tempo, infatti, ora consente di utilizzare i codici 2FA di Google Authenticator su più dispositivi, purché tutti abbiano effettuato l’accesso allo stesso account.
Tuttavia, Retool afferma che è proprio questa la funzionalità responsabile della violazione di agosto, in quanto ha consentito all’hacker che ha effettuato con successo il phishing dell’account Google di un dipendente, l’accesso a tutti i codici 2FA utilizzati per i servizi interni.
“Con questi codici (e la sessione Okta), l’aggressore ha ottenuto l’accesso alla nostra VPN e, soprattutto, ai nostri sistemi di amministrazione interni”, ha affermato Kodesh.
Dopo aver scoperto l’incidente di sicurezza, Retool ha revocato tutte le sessioni autenticate dei dipendenti interni, comprese quelle per Okta e G Suite.
Ha inoltre limitato l’accesso a tutti i 27 account compromessi e ha informato tutti i clienti cloud interessati, ripristinando tutti gli account violati alle loro configurazioni originali (secondo Retool, nessun cliente locale è stato coinvolto nell’incidente).