Контакты
Подписка 2024
Защищенный Linux
23 мая. Инструменты миграции на защищенный Linux
Регистрируйтесь на онлайн-конференцию!

Хакеры получили привилегии суперадминистратора в системах компании Okta

05/09/23

okta-dev-header

Американская компания Okta, специализирующаяся на управлении цифровыми удостоверениями личности, сообщила 31 августа о серии атак с использованием телефонного обзвона на своих специалистов.

Злоумышленники обращались в службы техподдержки клиентов Okta, выдавая себя за реальных сотрудников компании. Целью хакеров было отключение многофакторной аутентификации (MFA) и получение доступа к высокопривилегированным учётным записям сотрудников, пишет Securitylab.

После получения желаемого доступа хакеры злоупотребляли правами суперадминистраторов Okta для того, чтобы имитировать действия легитимных пользователей и скрыть факт атаки. Сама атака была зафиксирована в период с 29 июля по 19 августа текущего года.

Okta не раскрыла какие-либо подробности о причастных хакерах, однако независимые исследователи полагают, что их методы, предположительно, соответствуют группировке Muddled Libra, о которой мы рассказывали в июне этого года.

В основе атак лежит коммерческий фишинговый инструмент 0ktapus, позволяющий создавать реалистичные поддельные страницы для сбора учётных данных и кодов многофакторной аутентификации. В 0ktapus также реализованы C2-коммуникации через Telegram.

В последней серии атак на учётные записи Okta утверждается, что хакеры уже владели необходимыми паролями, принадлежащими привилегированным учётным записям пользователей, или «могли управлять потоком делегированной аутентификации через Active Directory».

То есть злоумышленники были достаточно подготовлены к звонку в службу технической поддержки Okta, и едва ли можно сказать, что в компрометации учётных записей виноваты сотрудники службы поддержки.

Полученный хакерами доступ к учётным записям суперадминистраторов Okta использовался для предоставления расширенных прав другим учётным записям, сброса настроенных подтверждений подлинности в существующих административных профилях и даже удаления требования второго фактора из общих политик аутентификации.

Чтобы противодействовать подобным атакам, эксперты Okta, испытавшие последствия инцидента на собственной шкуре, рекомендуют следующее:

  • внедрять методы аутентификации, устойчивые к фишингу;
  • ужесточать проверку личности обратившихся в техподдержку пользователей;
  • настроить уведомления о входе с новых устройств и подозрительной активности;
  • ограничивать использование учётных записей суперадминистраторов.

В целом, исследователи кибербезопасности отмечают, что атаки методом социальной инженерии становятся всё более изощренными и трудно распознаваемыми. Компаниям необходимо уделять пристальное внимание защите учётных записей администраторов и обучению сотрудников основам кибербезопасности. Только комплексный подход позволит снизить риски успешных атак.

Темы:КибербезопасностьTelegramПреступленияМошенничество
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...