Jak w praktyce przełamać dwuczynnikowe uwierzytelnienie? Zobaczcie tę prawdziwą historię włamania, która obfituje w… pomysłowość atakujących.

Żeby nie przedłużać, przejdźmy od razu do rzeczy. Ciekawą historię włamania do swojej infrastruktury IT opisuje firma Retool.

Zaczęło się od kampanii celowanych SMSów, w których atakujący podszywali się pod pracowników IT – „ten tego, coś jest nie tak z Twoim kontem, co może wpłynąć na dostępność Twojego ubezpieczenia zdrowotnego”:

Several employees received targeted texts, claiming that a member of IT was reaching out about an account issue that would prevent open enrollment (which affects the employee’s healthcare coverage).

Akcja z SMSami w zasadzie się nie udała, bo prawie nikt się nie złapał na scam… Tzn. udała się fantastycznie ;) bo złapała się raptem jedna osoba, co jednak umożliwiło atakującym dalej prowadzić atak:

Almost all employees didn’t engage, but unfortunately one employee logged into the link provided by the attackers.

W każdym razie SMS skłonił ofiarę do wejścia na mniej więcej taką domenę: https://retool.okta.com.[oauthv2.app]/authorize-client/xxx

Po zalogowaniu się przez ofiarę, napastnik zadzwonił do niej, ponownie podając się za pracownika IT, a dodatkowo najprawdopodobniej został wykorzystany sklonowany głos pracownika. Atak głosowy był skuteczny i doprowadził do przekazania przez ofiarę jednego kodu 2FA napastnikowi:

The caller claimed to be one of the members of the IT team, and deepfaked our employee’s actual voice. The voice was familiar with the floor plan of the office, coworkers, and internal processes of the company. Throughout the conversation, the employee grew more and more suspicious, but unfortunately did provide the attacker one additional multi-factor authentication (MFA) code.

Atakujący mając kod 2FA, dodał do konta ofiary swoje urządzenie, umożliwiające dwuczynikowe uwierzytelnienie (napastnik po prostu dodał kolejną formę 2FA do konta)

The additional OTP token shared over the call was critical, because it allowed the attacker to add their own personal device to the employee’s Okta account, which allowed them to produce their own Okta MFA from that point forward.

Atakujący dzięki dostępowi do zalogowanej sesji przez Okta uzyskali kolejny dostęp do googlowego konta pracownika-ofiary (GSuite, które logowanie zorganizowane miało właśnie przez Okta). Tutaj kolejna niespodzianka, bo pracownik miał zsynchronizowane kody 2FA (z appki Google Authenticator) ze swoim kontem googlowym (taką ciekawą funkcję – w formie backupu – wprowadził Google w tym roku). W skrócie – atakujący widzieli na bieżąco kody 2FA umożliwiające logowanie się np. do korporacyjnego VPNa:

With these codes (and the Okta session), the attacker gained access to our VPN, and crucially, our internal admin systems. This allowed them to run an account takeover attack on a specific set of customers (all in the crypto industry).

Co pomogłoby zapobiec atakowi? Np. sprzętowe klucze 2FA.

~ms