Нова функція хмарної синхронізації Google задіяна у крадіжці криптовалюти на $15 млн у Fortress Trust

Компанія-розробник програмного забезпечення Retool звинуватила у зломі криптографічного сховища Fortress Trust нещодавно запроваджену функцію хмарної синхронізації облікового запису Google, повідомило 18 вересня видання Hacker News.

Retool, яка надає хмарні послуги кільком клієнтам, в тому числі Fortress Trust, повідомила, що всі облікові записи її 27 хмарних клієнтів були скомпрометовані. Злом призвів до того, що Fortress Trust втратила 15 мільйонів доларів.

Процес злому Fortress Trust

Керівник інженерного відділу Retool Снір Кодеш повідомив, що нове оновлення Google змінило стандарт багатофакторної автентифікації на однофакторну без відома адміністраторів.

Це дозволило зламу, який розпочався як SMS-соціальна інженерна атака, спрямована на співробітників компанії, бути успішним. Зловмисник надсилав співробітникам шкідливі посилання, видаючи себе за члена ІТ-команди.

У повідомленні, що супроводжувало посилання, йшлося про те, що потрібно вирішити питання з нарахуванням заробітної плати, і один зі співробітників, не знаючи цього, ввів свої облікові дані на фальшивій цільовій сторінці. Потім хакери зателефонували співробітнику, використовуючи фальшивий голос, щоб отримати код багатофакторної автентифікації.

Хакери могли додати свій пристрій до облікового запису працівника і отримати код багатофакторної автентифікації. Це означало, що вони могли мати активний сеанс Google Workspace на пристрої.

Хакери отримали доступ до внутрішньої системи адміністрування зі своїх пристроїв, активувавши хмарну синхронізацію Google Authenticator. Вони одразу ж взяли під контроль акаунти клієнтів, змінивши їхню електронну пошту та пароль.

Retool не повідомила, як ця атака вплинула на інших клієнтів. Однак витонченість процесу дозволяє припустити, що хакери є експертами, які можуть навіть мати інсайдерський доступ, щоб адаптувати свої фішингові кампанії до цілей.

Після інциденту 27 серпня Ripple придбала Fortress Trust, відшкодувавши кошти постраждалим клієнтам. Тим часом, цей інцидент підкреслює зростаючу витонченість шахраїв і хакерів, які використовують соціальну інженерію, і тепер зосереджуються на криптовалютах.