2 years ago
190
Svelata una delle pi massicce campagne phishing: oltre 130 aziende nel mirino
26 Agosto 2022 0
L'attacco hacker a Signal di cui si è parlato all'inizio del mese potrebbe essere solo la punta dell'iceberg di una delle più massicce campagne di phishing degli ultimi anni. A rivelarlo sono i ricercatori di Group-IB che collocano l'azione nell'ambito di un'iniziativa molto più strutturata che ha riguardato oltre 130 aziende, tecnologiche e non, la maggior parte delle quali statunitensi.
169 DOMINI UNICI PRESI DI MIRA
La campagna è stata denominata "0ktapus" dai ricercatori perché gli hacker hanno utilizzato il kit per condurre attacchi phishing chiamato "oktapus". Disquisizioni linguistiche a parte, il bottino degli hacker si è tradotto in 9.931 credenziali di login che sono state utilizzate per entrare nei sistemi informatici delle aziende tramite VPN e altri dispositivi di accesso remoto.
Secondo gli esperti di Group-IB la campagna è in corso da marzo scorso ed ha avuto come obiettivo sottrarre le credenziali del sistema di autenticazione single sign-on di Otka, usato delle aziende prese di mira. Molto esteso il numero dei domini unici nel mirino degli hacker, 169 in totale. Oltre Twillo, DoorDash e Signal l'elenco dei domini comprende anche quelli di Microsoft, Twitter, AT&T, Verizon, Coinbase, Best Buy, T-Mobile, RIot Games ed Epic Games - ma in questi casi non sono ancora state confermate le effettive violazioni dei sistemi.
Gli hacker non avrebbero utilizzato strumenti particolarmente sofisticati, ma ciò non toglie che l'estensione della campagna non sia passata inosservata. Roberto Martinez, ricercatore di Group-IB, afferma: L'analisi del kit di phishing ha rivelato che era mal configurato e che il modo in cui era stato sviluppato ha dato la possibilità di estrarre le credenziali rubate per ulteriori analisi.
In concreto l'attacco inizia con un messaggio SMS contenente un collegamento ad una pagina di phishing che apparentemente simula la pagina di accesso di Otka: la vittima fornisce quindi inconsapevolmente agli hacker le credenziali del proprio account e i codici 2FA. Si ricorda che Otka è una piattaforma per la gestione dell'identità e delle autenticazioni che permette ai dipendenti di accedere a tutte le risorse software dell'azienda con un unico login.
Ottenere guadagni illeciti sembra essere la motivazione alla base dell'articolata campagna hacker. il gruppo delle potenziali vittime comprende infatti anche aziende che operano nel mercato delle criptovalute e altre che sviluppano strumenti di investimento. Il rapporto di Grouo-IB dice chiaramente che quella di cui si discute è la più grande campagna phising mai scoperta e si conclude sottolineando:
Oktapus dimostra quanto le moderne organizzazioni siano vulnerabili ad alcuni semplici attacchi di social engineering e quanto siano di vasta portata gli effetti di questi incidenti per i loro partner e clienti.
Sì, perché di fatto si tratta di attacchi che possono essere facilmente respinti non cadendo nel tranello - vale a dire riflettendo bene sui siti a cui si accede tramite un link ricevuto via SMS e sulle informazioni che si comunicano - ma ciononostante queste violazioni dei sistemi informatici che partono da un errore umano (quello compiuto dal dipendente incauto) continuano ad essere molto frequenti.
English (US)