Security Week 2244: расследование фишинговой атаки на Twilio
На прошлой неделе компания Twilio опубликовала окончательные результаты расследования кибератаки, произошедшей летом этого года. В конце августа мы уже писали об этом инциденте, который затронул не только эту организацию, но и многие другие. Twilio обеспечивает доставку SMS-сообщений, используемых для двухфакторной аутентификации. Взлом компании с последующим доступом к отправляемым сообщениям привел к компрометации 1900 учеток в мессенджере Signal, инциденту в компании Okta. Одновременно проводились фишинговые атаки на другие организации, всего потенциальных жертв насчитывалось больше сотни.
Основной вектор атаки был известен уже в августе: это массовая рассылка фишинговых SMS сотрудникам компании с предложением сбросить пароль к рабочей учетной записи. Ссылка в сообщении вела на один из (как позднее выяснилось) десятков фишинговых сайтов, заранее подготовленных с учетом данных о реальной инфраструктуре компании. В Twilio не указывают, сколько именно сотрудников получили сообщения и как часто они передавали свои пароли злоумышленникам. Но из отчета Cloudflare об их опыте противодействия похожей атаке известно, что из 76 сотрудников, получивших сообщение, свой пароль на фишинговом сайте ввели трое. В финальном отчете о расследовании Twilio раскрыла еще один вектор атаки: злоумышленники звонили сотрудникам голосом.
Голосовая атака произошла еще в конце июня 2022 года: сотруднику компании позвонил человек, представившийся сотрудником техподдержки, и уговорил передать пароль от учетной записи. Неавторизованный доступ к внутренним системам Twilio тогда был обнаружен и закрыт через 12 часов. В середине июля прошла вторая атака, уже с массовой рассылкой фишинговых SMS работникам. В результате атаки злоумышленники получили доступ к инфраструктуре Twilio, в том числе к данным клиентов. Но только к данным (через условную «админку»): организаторам атаки не удалось похитить сами учетные записи пользователей сервисов Twilio.
Доступ сохранялся достаточно долго — в Twilio не раскрывают конкретной даты начала SMS-атаки, но последний неавторизованный доступ был закрыт только 9 августа. Получается, две-три недели злоумышленники имели доступ к информации, компрометирующей не только Twilio, но и ее клиентов. Представляют интерес действия Twilio по устранению последствий атаки и снижения вероятности подобных атак в будущем. Для устранения последствий были приняты ожидаемые меры: пароли пострадавших сотрудников были сброшены, сессии во внутренних сервисах принудительно прекращены.
В списке действий по недопущению таких атак упоминается полезная идея разграничения доступа к данным клиентов — так, чтобы они были видны только тем сотрудникам, которым это реально необходимо. Были введены меры «дополнительного контроля активности» внутри корпоративной сети, при доступе к ней снаружи через VPN. Для сотрудников провели обязательные тренинги по атакам с использованием социальной инженерии. Впрочем, самой действенной мерой, скорее всего, станет раздача всем сотрудникам аппаратных ключей, работающих по стандарту FIDO2. Именно аппаратные ключи, которые в принципе не позволяют украсть секрет через фишинговый сайт, помогли компании Clouflare предотвратить аналогичную атаку. История атаки на Twilio, таким образом, — это пример настойчивости злоумышленников, которые несколько раз используют, в принципе, одни и те же методы социальной инженерии. И они, к сожалению, работают, что желательно учитывать в стратегии защиты.
Что еще произошло:
Прошедшая неделя отметилась закрытием двух уязвимостей zero-day. В iOS и iPadOS была исправлена ошибка, приводящая к записи данных в оперативную память за пределами отведенного диапазона адресов. В браузере Google Chrome закрыли уязвимость в движке Javascript V8. Для Apple это девятая уязвимость zero-day с начала 2022 года, для браузера Chrome — седьмая.
Компания Apple тем временем запустила отдельный ресурс, на котором собраны все данные по безопасности и взаимодействию с независимыми исследователями в рамках программы bug bounty. За два с половиной года существования программы выплат за найденные уязвимости на нее было потрачено больше 20 миллионов долларов. В 20 случаях исследователям, обнаружившим наиболее опасные ошибки в коде Apple, было выплачено по сто тысяч долларов или больше. Компания обещает улучшить прозрачность взаимодействия с независимыми специалистами и более оперативно реагировать на полученную информацию. До сих пор по этим двум критериям взаимодействие с Apple оставляло желать лучшего.
Издание Bleeping Computer пишет об интересном баге в Windows, который позволяет не выводить предупреждение при запуске исполняемого файла, загруженного из интернета. Если добавить к файлу поврежденную цифровую подпись, файл молча запускается. Баг уже используется в атаках, где пользователям рассылаются зараженные javascript-файлы, которые в свою очередь шифруют данные. Официальный патч пока не выпущен, но есть сторонняя заплатка.