Чужой среди своих: хакеры получили привилегии суперадминистратора в системах компании Okta

Американская компания Okta , специализирующаяся на управлении цифровыми удостоверениями личности, сообщила 31 августа о серии атак с использованием методов социальной инженерии на своих специалистов.

Злоумышленники обращались в службы техподдержки клиентов Okta, выдавая себя за реальных сотрудников компании. Целью хакеров было отключение многофакторной аутентификации ( MFA ) и получение доступа к высокопривилегированным учётным записям сотрудников.

После получения желаемого доступа хакеры злоупотребляли правами суперадминистраторов Okta для того, чтобы имитировать действия легитимных пользователей и скрыть факт атаки. Сама атака была зафиксирована в период с 29 июля по 19 августа текущего года.

Okta не раскрыла какие-либо подробности о причастных хакерах, однако независимые исследователи полагают, что их методы, предположительно, соответствуют группировке Muddled Libra, о которой мы рассказывали в июне этого года.

В основе атак лежит коммерческий фишинговый инструмент 0ktapus, позволяющий создавать реалистичные поддельные страницы для сбора учётных данных и кодов многофакторной аутентификации. В 0ktapus также реализованы C2 -коммуникации через Telegram .

В последней серии атак на учётные записи Okta утверждается, что хакеры уже владели необходимыми паролями, принадлежащими привилегированным учётным записям пользователей, или «могли управлять потоком делегированной аутентификации через Active Directory» .

То есть злоумышленники были достаточно подготовлены к звонку в службу технической поддержки Okta, и едва ли можно сказать, что в компрометации учётных записей виноваты сотрудники службы поддержки.

Полученный хакерами доступ к учётным записям суперадминистраторов Okta использовался для предоставления расширенных прав другим учётным записям, сброса настроенных подтверждений подлинности в существующих административных профилях и даже удаления требования второго фактора из общих политик аутентификации.

Чтобы противодействовать подобным атакам, эксперты Okta, испытавшие последствия инцидента на собственной шкуре, рекомендуют следующее:

• внедрять методы аутентификации, устойчивые к фишингу;
• ужесточать проверку личности обратившихся в техподдержку пользователей;
• настроить уведомления о входе с новых устройств и подозрительной активности;
• ограничивать использование учётных записей суперадминистраторов.

В целом, исследователи кибербезопасности отмечают, что атаки методом социальной инженерии становятся всё более изощренными и трудно распознаваемыми. Компаниям необходимо уделять пристальное внимание защите учётных записей администраторов и обучению сотрудников основам кибербезопасности. Только комплексный подход позволит снизить риски успешных атак.