محققان اپراتورهای حمله اخیر توئیلو و کلودفلر را با کمپین گستردهای که ۱۳۶ سازمان را هدف قرار داده و بیش از ۹ هزار حساب را آلوده نمود، مرتبط دانستند.
این حمله توسط شرکت امنیتی IB “اکتاپوس” نامیده شده است. دلیل این نامگذاری به هدف این کمپین مربوط است، چرا که هکرها قصد داشتند با دستیابی به اطلاعات لاگین اکتای قربانیان و کد احراز هویت دو مرحلهای، به سازمان مورد نظر نفوذ کنند. اکتا یک شرکت مدیریت هویت و دسترسی آمریکایی است. این سرویس دسترسی امن کارمندان شرکتها، به اپلیکیشنها، سرویسهای وب و دستگاهها را بر اساس هویت اشخاص، امکان پذیر میسازد.
این شرکت امنیتی سنگاپوری در گزارش خود نوشته که حمله فوق بسیار عالی طراحی شده و اجرای بی نقصی داشته است. مهاجم در این حمله کارمندانی را انتخاب کرده که از سرویس اکتا استفاده میکنند.
روش حمله به این صورت بوده که ابتدا یک پیام فیشینگ به قربانی ارسال میشد. در این پیام لینکی قرار داده شده بود که قربانی را به سایت فیشینگ (صفحه جعلی احراز هویت اکتا) هدایت میکرد.
به عقیده گروه IB، در این پرونده با وجود اینکه از روشهای سطح پایین استفاده شده اما تعداد قربانیان و سازمانهای هدف قابل توجه است. علاوه بر این، به محض اینکه مهاجم به سازمانی نفوذ میگرد، زنجیره حملات خود را نیز آغاز مینمود. این نشان میدهد که حمله فوق از پیش کاملا طراحی و برنامه ریزی شده بود.
تا به حال ۱۶۹ دامنه فیشینگ منحصر بفرد برای این کمپین شناسایی شده است. اغلب سازمانهای هدف گرفته شده در این کمپین، در ایالات متحده آمریکا قرار داشتند. در تمام این دامنهها از یک ابزار فیشینگ شناسایی نشده استفاده شده بود.
اغلب سازمانهای هدف، شرکتهای نرمافزاری هستند که در حوزههای ارتباطات سرویسهای تجاری، اقتصادی، آموزشی، خردهفروشی و تدارکات، فعالیت میکنند.
شرکتهایی که حمله فیشینگ را تایید کردهاند، شامل توئلیو، کلودفلر، Kalviyo و Mailchimp هستند. بررسیها نشان داده این کمپین به AT&T، KuCoin، Mailgun، Metro PCS، Slack، T-Mobile و Verizon نیز حمله کرده است. این حملات سکویی برای اجرای حملات زنجیرهای بعدی محسوب میشوند. برای نمونه از حمله به Twilio برای دستیابی به سیگنال و برای دستیابی به MailChimp از DigitalOcean استفاده شده است.
از نکات جالب این حمله، استفاده از کانال تلگرامی تحت کنترل هکر است که برای دریافت اطلاعات حسابهای هک شده استفاده میشود. این اطلاعات معمولا شامل نام کاربری، رمز عبور، ایمیل، و کد احراز هویت دو مرحلهای است.
گروه IB توانسته ادمین یکی از کانالهای تلگرامی را شناسایی کند که از نام مستعار X استفاده میکند. سپس توانسته او را به حسابی در گیتلب و توییتر ارتباط دهد. با توجه به مستندات بدست آمده این شرکت حدس میزد یکی از خرابکاران در ایالت کارولینای شمالی باشد.
محققان هنوز موفق به شناسایی هدف اصلی این حملات نشدهاند، اما احتمال میرود که انگیزه هکرها جاسوسی و درآمدزایی بوده است. در این کمپین، مهاجمان توانستهاند به اطلاعات محرمانه، داراییهای فکری، صندوق پستی شرکتها دسترسی پیدا کنند.
علاوه بر این، تلاش برای نفوذ به حساب سیگنال اشخاص، نشان میدهد که هکرها قصد دارند به مکالمات محرمانه اشخاص نیز دسترسی پیدا کرده و اطلاعات حساس آنها را استخراج کنند. هنوز مشخص نشده که هکرها از چه روشی به شماره تماس و نام کارمندان این سازمانها دسترسی پیدا کردهاند.
به عقیده محققان، بخش بزرگی از کمپین اکتاپوس به شانس وابسته بوده و احتمال اینکه چنین حمله زنجیرهای، از پیش به صورت دقیق طراحی شده، بسیار کم است، با این وجود میزان موفقیت بسیار بالا داشت.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.