Der Bedrohungsakteur, der hinter den Angriffen auf Twilio und Cloudflare Anfang des Monats steckte, wurde mit einer breiteren Phishing-Kampagne in Verbindung gebracht, die auf 136 Organisationen abzielte und zu einer kumulativen Kompromittierung von 9.931 Konten führte.
Die Aktivität wurde von Group-IB als 0ktapus verurteilt, weil das ursprüngliche Ziel der Angriffe darin bestand, „Okta-Identitätsdaten und Codes für die Zwei-Faktor-Authentifizierung (2FA) von Nutzern der angegriffenen Organisationen zu erhalten“.
Das Unternehmen mit Sitz in Singapur bezeichnete die Angriffe als gut durchdacht und ausgeführt und erklärte, dass die Angreifer gezielt Mitarbeiter von Unternehmen angegriffen haben, die Kunden des Identitätsdienstleisters Okta sind.
Der Modus Operandi bestand darin, den Zielpersonen Textnachrichten zu schicken, die Links zu Phishing-Seiten enthielten, die sich als die Okta-Authentifizierungsseite der jeweiligen Zielunternehmen ausgaben.
„Dieser Fall ist von Interesse, weil es trotz der Verwendung von wenig geschickten Methoden gelungen ist, eine große Anzahl bekannter Organisationen zu kompromittieren“, so Group-IB. „Außerdem konnten die Angreifer, sobald sie eine Organisation kompromittiert hatten, schnell umschwenken und weitere Angriffe auf die Lieferkette starten, was darauf hindeutet, dass der Angriff im Voraus sorgfältig geplant wurde.“
Mindestens 169 einzigartige Phishing-Domains sollen zu diesem Zweck eingerichtet worden sein, wobei sich die Opferorganisationen hauptsächlich in den USA (114), Indien (4), Kanada (3), Frankreich (2), Schweden (2) und Australien (1) befanden, unter anderem. Diese Websites einte die Tatsache, dass sie ein bisher nicht dokumentiertes Phishing-Kit verwendeten.
Die meisten der betroffenen Unternehmen sind Softwarefirmen, gefolgt von Unternehmen aus den Bereichen Telekommunikation, Unternehmensdienstleistungen, Finanzen, Bildung, Einzelhandel und Logistik.
Das Besondere an den Angriffen ist, dass ein von den Tätern kontrollierter Telegram-Kanal genutzt wurde, um die kompromittierten Informationen zu übermitteln, darunter Benutzerdaten, E-Mail-Adressen und Codes für die Multifaktor-Authentifizierung (MFA).
Group-IB konnte einen der Kanaladministratoren, der unter dem Pseudonym X auftritt, mit einem Twitter- und einem GitHub-Konto in Verbindung bringen, was darauf schließen lässt, dass die Person im US-Bundesstaat North Carolina ansässig ist.
Die eigentlichen Ziele der Kampagne sind noch unklar, aber es wird vermutet, dass es sich um Spionage und finanzielle Motive handelt, die es dem Bedrohungsakteur ermöglichen, auf vertrauliche Daten, geistiges Eigentum und den Posteingang von Unternehmen zuzugreifen und Gelder abzuschöpfen.
Außerdem deuten die Versuche, sich in Signal-Konten einzuhacken, darauf hin, dass die Angreifer auch versuchen, an private Gespräche und andere sensible Daten zu gelangen. Es ist noch nicht bekannt, wie die Hacker an die Telefonnummern und Namen der Mitarbeiter/innen gelangt sind.
„Auch wenn die Angreifer bei ihren Angriffen vielleicht Glück hatten, ist es viel wahrscheinlicher, dass sie ihre Phishing-Kampagne sorgfältig geplant haben, um ausgeklügelte Angriffe auf die Lieferkette zu starten“, sagt Roberto Martinez, Analyst bei Group-IB.
„Es ist noch nicht klar, ob die Angriffe von Anfang bis Ende geplant waren oder ob in jeder Phase opportunistisch gehandelt wurde. Unabhängig davon war die 0ktapus-Kampagne unglaublich erfolgreich, und das volle Ausmaß wird wohl erst in einiger Zeit bekannt werden.“