Um recurso de sincronização de conta do Google recentemente introduzido foi responsabilizado pela empresa de desenvolvimento de software Retool depois que hackers sofisticados obtiveram acesso aos seus sistemas e atingiram mais de duas dúzias de seus clientes do setor de criptomoedas.
A Retool é uma empresa sediada em São Francisco, Califórnia, que fornece uma plataforma de desenvolvimento projetada para construir ferramentas de negócios personalizadas sem a necessidade de habilidades avançadas de programação. Seus clientes incluem grandes empresas como Amazon, DoorDash, Unity, NBC, Mercedes-Benz, Volvo, Lyft e Peloton.
A empresa revelou esta semana que 27 de seus clientes de nuvem foram notificados no final de agosto de que houve acesso não autorizado às suas contas. Retool disse que as contas locais e gerenciadas não foram afetadas.
Os hackers lançaram ataques de controle de contas contra esses clientes, alterando e-mails de usuários e redefinindo senhas. Todas as vítimas eram da indústria de criptomoedas.
Retool disse que o ataque foi detectado rapidamente e a empresa se apressou em tomar medidas para reverter as 27 aquisições de contas.
No entanto, a CoinDesk informou que pelo menos um cliente, Fortress Trust, tinha US$ 15 milhões em criptomoedas roubadas como resultado do ataque.
O ataque sofisticado começou com spear phishing baseado em SMS direcionado aos funcionários da Retool. As mensagens, recebidas por vários funcionários, pareciam vir de um membro da equipe de TI da empresa e instruíam os destinatários a acessar um link aparentemente legítimo para resolver alguns problemas de folha de pagamento e inscrições abertas (relacionadas à saúde).
Apenas um funcionário caiu no ataque e acessou o link, o que o levou a uma página de phishing que os enganou para que entregassem suas credenciais e dados de autenticação multifator (MFA).
Os hackers então fizeram um telefonema no qual falsificaram a voz real de um funcionário. A pessoa que fez a ligação levantou algumas suspeitas, mas no final o funcionário forneceu ao invasor um código MFA adicional de que ele precisava. O invasor foi convincente porque estava familiarizado com a planta baixa do escritório, os processos internos e outros funcionários.
“O token OTP adicional compartilhado durante a chamada foi crítico, porque permitiu ao invasor adicionar seu próprio dispositivo pessoal à conta Okta do funcionário, o que lhes permitiu produzir seu próprio Okta MFA daquele ponto em diante. Isso permitiu que eles tivessem uma sessão ativa do GSuite naquele dispositivo”, Reequipar explicado em uma postagem do blog.
A empresa disse que usa senhas de uso único (OTPs) para autenticação no Google, Okta, uma VPN interna e instâncias internas do Retool. O invasor conseguiu obter acesso a todos os tokens MFA na conta do funcionário visado – e depois acessar sistemas internos – devido a um recurso Google Authenticator lançado recentemente que sincroniza códigos MFA com a nuvem.
Se o recurso estiver ativo – estava ativo no caso do funcionário da Retool – os hackers podem obter todos os códigos MFA do usuário alvo se sua conta do Google estiver comprometida.
“Se você instalar o Google Authenticator diretamente da app store e seguir as instruções sugeridas, seus códigos MFA serão salvos na nuvem por padrão. Se você quiser desativá-lo, não há uma maneira clara de ‘desativar a sincronização com a nuvem’; em vez disso, há apenas uma opção de ‘desvincular conta do Google’. Em nossa conta corporativa do Google, também não há como um administrador desabilitar centralmente o ‘recurso’ de sincronização do Google Authenticator”, reclamou Retool.
“O fato de o Google Authenticator sincronizar com a nuvem é um novo vetor de ataque”, observou Retool. “O que implementamos originalmente foi a autenticação multifator. Mas através desta atualização do Google, o que anteriormente era autenticação multifator silenciosamente (para os administradores) tornou-se autenticação de fator único, porque o controle da conta Okta levou ao controle da conta Google, o que levou ao controle de todos os OTPs armazenados em Autenticador Google.”
Não está claro quem está por trás do ataque, mas o incidente parece ter algumas semelhanças com ataques recentes atribuídos a um grupo de ameaças com motivação financeira rastreado como 0ktapus, Scattered Spider e UNC3944. O grupo é conhecido por suas sofisticadas táticas de engenharia social, pelo uso de mensagens de phishing baseadas em SMS e pela segmentação de empresas de criptomoeda. A mesma gangue também parece estar por trás do recente ataque altamente perturbador ao MGM Resorts.
Quanto ao uso de deepfakes para engenharia social, esta parece ser uma tática cada vez mais popular. As agências americanas CISA, FBI e NSA publicaram esta semana um relatório de segurança cibernética sobre deepfakes, alertando que deepfakes de vídeo, áudio e texto podem ser usados para uma ampla gama de propósitos maliciosos, incluindo ataques de comprometimento de e-mail comercial (BEC) e golpes de criptomoeda.
ATUALIZAR: o Google forneceu Semana de Segurança a seguinte declaração:
“Nossa primeira prioridade é a segurança de todos os usuários online, sejam eles consumidores ou empresas, e este evento é outro exemplo de por que continuamos dedicados a melhorar nossas tecnologias de autenticação. Ademais, também continuamos a incentivar a mudança para tecnologias de autenticação mais seguras como um todo, como as chaves de acesso, que são resistentes ao phishing. Os riscos de phishing e de engenharia social com tecnologias de autenticação legadas, como as baseadas em OTP, são a razão pela qual a indústria está investindo pesadamente nessas tecnologias baseadas em FIDO. Enquanto continuamos trabalhando para essas mudanças, queremos garantir que os usuários do Google Authenticator saibam que têm a opção de sincronizar suas OTPs com suas Contas do Google ou mantê-las armazenadas apenas localmente. Enquanto isso, continuaremos trabalhando para equilibrar segurança e usabilidade enquanto consideramos futuras melhorias no Google Authenticator.”