De aanval op authenticatiebedrijf Twilio, begin deze maand, lijkt veel breder te zijn dan eerst gedacht. Ook wachtwoordmanager LastPass en authenticatiebedrijf Authy horen bij de slachtoffers.
Begin augustus raakte bekend dat er gegevens werden gestolen bij de Amerikaanse communicatiegigant Twilio. Het bedrijf, dat onder meer meerstaps-authenticatie levert aan Facebook en Uber, werd slachtoffer van een phishingaanval, waarbij de hackers toegang kregen tot een klantendatabank.
Nu zegt beveiliger Group-IB in een rapport dat die aanval deel uitmaakt van een veel bredere phishingcampagne die minstens 136 bedrijven wist te raken. De beveiliger geeft die campagne de naam oktapus mee, naar het authenticatiebedrijf wiens software door veel van de slachtoffers gebruikt wordt. Bij de slachtoffers zouden onder meer authenticatiebedrijf en Twilio-dochter Authy zitten, maar ook wachtwoordmanager LastPass en Amerikaanse maaltijdleverancier DoorDash. Alle drie maakten ze de voorbije weken een datalek bekend.
Berichtendienst Signal en leverancier van authenticatiesoftware Okta maakten ook bekend dat hun gegevens werden ingekeken als gevolg van de Twilio hack. In het geval van Okta is het al de tweede aanval dit jaar. Data uit die aanval op Okta in maart werd vermoedelijk gebruikt om de phishingaanvallen die volgden kracht bij de zetten.
Phishing
Volgens Group-IB werden de 136 bedrijven aangevallen door dezelfde groep als Twilio, via een gesofisticeerde vorm van phishing. Doelwitten die werken voor een van de 136 bedrijven krijgen een sms’je dat hen naar een valse versie van een loginscherm voor Okta authenticatie stuurt. Het doel van de aanval is om op deze manier Okta logins en authenticatie-codes te onderscheppen van de slachtoffers, en zo zelf in te loggen bij de bedrijven in kwestie.
De doelwitten en slachtoffers van deze groep zijn wat zorgelijk, omdat het voor een groot deel gaat om bedrijven die authenticatie leveren voor anderen. Het zou dus om supply-chainaanvallen gaan die toegang moeten geven tot nog andere bedrijven. Authy bewaart bijvoorbeeld tokens voor tweestapsverificatie (2FA) voor 75 miljoen gebruikers. De aanval op het bedrijf werd schijnbaar gebruikt om nieuwe toestellen toe te voegen die eenmalig wachtwoorden konden ontvangen. Die zouden ondertussen weer verwijderd zijn door het bedrijf zelf. LastPass zag een deel van zijn broncode gestolen, maar zegt dat wachtwoorden en andere data van klantenaccounts niet geraakt werden.
2FA en Cloudflare
Okta geeft in een eigen rapport aan dat de groep bij zijn aanval op het Okta-netwerk specifiek op zoek ging naar telefoonnummers, waarvan een meerderheid van hetzelfde bedrijf. Dat doet uitschijnen dat de aanvallers op deze manier bij dat bedrijf willen binnen geraken.
Wat de campagne alvast toont, is dat niet elke vorm van 2FA even veilig is. Het systeem is nog altijd een pak beter dan alleen een wachtwoord, maar is met genoeg moeite en tijd wel ‘te kraken’. De groep achter deze campagne werkt specifiek op het onderscheppen van authenticatie-sms’jes om zo verder in te kunnen breken. Dat merk je ook aan het relaas van een van de doelwitten waarbij niet werd ingebroken: Cloudflare. Dat bedrijf zegt net als de anderen doelwit te zijn, maar zijn personeel gebruikt 2FA via fysieke sleutels, zoals Yubikey. Die codes zijn een pak moeilijker te onderscheppen dan een sms’je, waardoor de aanvallers bij dit bedrijf bot vingen.
Fout opgemerkt of meer nieuws? Meld het hier