Il y a deux semaines, Twilio et Cloudflare ont détaillé une attaque de phishing si méthodique et bien orchestrée qu’elle a amené les employés des deux sociétés à révéler les informations d’identification de leur compte. Dans le cas de Twilio, l’attaque a outrepassé sa protection 2FA et a donné aux acteurs de la menace l’accès à ses systèmes internes. Aujourd’hui, des chercheurs ont découvert des preuves que les attaques faisaient partie d’une campagne de phishing massive qui a rapporté près de 10 000 identifiants de compte appartenant à 130 organisations.
Sur la base des révélations fournies par Twilio et Cloudflare, il était déjà clair que les attaques de phishing ont été exécutées avec une précision et une planification presque chirurgicales. D’une manière ou d’une autre, l’auteur de la menace avait obtenu les numéros de téléphone privés d’employés et, dans certains cas, de membres de leur famille. Les attaquants ont ensuite envoyé des SMS invitant les employés à se connecter à ce qui semblait être la page d’authentification légitime de leur employeur.
En 40 minutes, 76 employés de Cloudflare ont reçu le SMS, qui comprenait un nom de domaine enregistré seulement 40 minutes plus tôt, contrecarrant les mesures de protection mises en place par l’entreprise pour détecter les sites qui usurpent son nom. Les hameçonneurs ont également utilisé un site proxy pour effectuer des détournements en temps réel, une méthode qui leur a permis de capturer les codes d’accès à usage unique que Twilio a utilisés dans ses vérifications 2FA et de les saisir sur le site réel. Presque immédiatement, l’acteur menaçant a utilisé son accès au réseau de Twilio pour obtenir les numéros de téléphone appartenant à 1 900 utilisateurs de Signal Messenger.
Échelle et portée sans précédent
Un rapport de la société de sécurité Group-IB publié jeudi a déclaré qu’une enquête qu’elle avait menée pour le compte d’un client avait révélé une campagne beaucoup plus vaste. Surnommé « 0ktapus », il a utilisé les mêmes techniques au cours des six derniers mois pour cibler 130 organisations et hameçonner avec succès 9 931 informations d’identification. L’acteur menaçant à l’origine des attaques a amassé pas moins de 169 domaines Internet uniques pour piéger ses cibles. Les sites, qui incluaient des mots clés tels que « SSO », « VPN », « MFA » et « HELP » dans leurs noms de domaine, ont tous été créés à l’aide du même kit de phishing jusqu’alors inconnu.
« L’enquête a révélé que ces attaques de phishing ainsi que les incidents à Twilio et Cloudflare étaient des maillons d’une chaîne – une campagne de phishing unique simple mais très efficace sans précédent par son ampleur et sa portée qui est active depuis au moins mars 2022 », Group-IB ont écrit les chercheurs. « Comme l’ont montré les divulgations de Signal, une fois que les attaquants ont compromis une organisation, ils ont rapidement pu pivoter et lancer des attaques ultérieures sur la chaîne d’approvisionnement. »
Ils ont poursuivi :
Bien que l’auteur de la menace ait pu avoir de la chance dans ses attaques, il est beaucoup plus probable qu’il ait soigneusement planifié sa campagne de phishing pour lancer des attaques sophistiquées sur la chaîne d’approvisionnement. Il n’est pas encore clair si les attaques ont été planifiées de bout en bout à l’avance ou si des actions opportunistes ont été prises à chaque étape. Quoi qu’il en soit, la campagne 0ktapus a été un succès incroyable, et son ampleur pourrait ne pas être connue avant un certain temps.
Group-IB n’a identifié aucune des sociétés compromises, sauf pour dire qu’au moins 114 d’entre elles sont situées ou ont une présence aux États-Unis. La plupart des cibles fournissent des services informatiques, de développement de logiciels et de cloud. Okta a révélé jeudi dans un message qu’il faisait partie des victimes.
Le kit de phishing a conduit les enquêteurs vers un canal Telegram que les acteurs de la menace utilisaient pour contourner les protections 2FA qui reposent sur des mots de passe à usage unique. Lorsqu’une cible saisissait un nom d’utilisateur et un mot de passe sur le faux site, ces informations étaient immédiatement relayées sur le canal à l’auteur de la menace, qui les saisissait ensuite sur le vrai site. Le faux site demanderait alors à la cible d’entrer le code d’authentification à usage unique. Lorsque la cible s’exécutait, le code était envoyé à l’attaquant, permettant à l’attaquant de le saisir sur le site réel avant l’expiration du code.
L’enquête de Group-IB a révélé des détails sur l’un des administrateurs de la chaîne qui utilise le pseudonyme X. Cette piste a conduit à un compte Twitter et GitHub qui, selon les chercheurs, appartient à la même personne. Un profil d’utilisateur apparaît pour indiquer que la personne réside en Caroline du Nord.
Malgré ce dérapage potentiel, la campagne était déjà l’une des mieux exécutées de tous les temps. Le fait qu’il ait été réalisé à grande échelle sur six mois, a déclaré Group-IB, le rend d’autant plus formidable.
« Les méthodes utilisées par cet acteur de la menace ne sont pas spéciales, mais la planification et la façon dont elle a pivoté d’une entreprise à l’autre rendent la campagne digne d’être examinée », a conclu le rapport de jeudi. « 0ktapus montre à quel point les organisations modernes sont vulnérables à certaines attaques d’ingénierie sociale de base et à quel point les effets de tels incidents peuvent être considérables pour leurs partenaires et clients. »