Coincu'ya göre yazılım şirketi Retool, 27 kripto müşteri hesabını tehlikeye atan ve milyonlarca dolarlık kayba yol açan bir siber saldırının ayrıntılarını açıkladı. 27 Ağustos 2023'te meydana gelen ihlal, Google Authenticator ile ilişkili kritik bir güvenlik açığını ortaya çıkardı.
Saldırı, Google Authenticator bulut senkronizasyon işlevinden yararlanarak çok faktörlü kimlik doğrulamayı etkili bir şekilde tek faktörlü bir sisteme dönüştürdü. Saldırgan bir Okta hesabının kontrolünü ele geçirdi ve ardından Google Authenticator'da depolanan tüm tek kullanımlık şifrelerin (OTP'ler) bulunduğu ilgili Google hesabının kontrolünü ele geçirdi. Daha önce güvenli olduğu düşünülen bu senkronizasyon özelliğinin yeni bir saldırı vektörü olduğu ortaya çıktı.
Olay, tehdit aktörlerinin BT ekibinin üyeleri gibi davrandığı, Retool çalışanlarını hedef alan bir SMS kimlik avı saldırısıyla başladı. Çalışanlar, bordroyla ilgili bir sorunu çözmek için görünüşte meşru bir bağlantıya tıklamak zorunda kaldı. Bir çalışan Google Authenticator'ın bulut senkronizasyon özelliğini etkinleştirdiğinde ek bir güvenlik açığı ortaya çıktı ve tehdit aktörlerine dahili yönetici sistemlerine yüksek erişim hakkı verildi. Saldırganlar daha sonra kripto endüstrisindeki 27 müşterinin e-posta adreslerini değiştirdi ve şifrelerini sıfırladı; bu durum, CoinDesk tarafından bildirildiği üzere, başta Fortress Trust'tan 15 milyon dolar değerindeki kripto paranın çalınması olmak üzere önemli kayıplara yol açtı.
Bilgisayar korsanlarının kesin kimliği açıklanmasa da taktikleri, karmaşık kimlik avı teknikleri kullanmasıyla tanınan, Scattered Spider olarak bilinen, finansal motivasyona sahip bir tehdit aktörünün taktiklerine benziyor. Retool, ihlalin şirket içi veya yönetilen hesaplara yetkisiz erişime izin vermediğini ve şirketin oturum açma bilgilerinin Okta'ya taşınmasıyla aynı zamana denk geldiğini garanti ediyor.
