बड़ी पैमाने पर मछली पकड़ने अभियान, जिसे 0ktapus कहा जाता है, मेघ ज्वाला कब ट्विलियोजिसके कारण, अन्य बातों के अलावा, सुरक्षित संदेश सेवाओं के विरुद्ध छोटे पैमाने पर डाउनस्ट्रीम हमले हुए संकेतदुनिया भर में 130 से अधिक संगठनों में लगभग 10,000 उपयोगकर्ता खातों से समझौता करने के लिए पहचान और पहुंच प्रबंधन (IAM) विशेषज्ञों के ब्रांड का दुरुपयोग करने का पता चला था। ऑक्टा.
यह, में शोधकर्ताओं के अनुसार समूह आईबीआज ने हमलावरों की फ़िशिंग अवसंरचना, फ़िशिंग डोमेन, फ़िशिंग किट, और टेलीग्राम संचार चैनलों का विश्लेषण प्रकाशित किया, जिनका उपयोग समझौता की गई जानकारी को छोड़ने के लिए किया गया था।
ग्रुप-आईबी सिंगापुर में स्थित है और रूस में स्थित है थ्रेट इंटेलिजेंस के ग्राहकों में से एक ने कहा कि उसने जुलाई के अंत में एक जांच शुरू की जब उसने अपने कर्मचारियों को लक्षित फ़िशिंग हमले के बारे में अधिक जानकारी मांगी।
एक बाद की जांच में जांचकर्ताओं ने पाया कि, क्लाउडफ्लेयर और ट्विलियो के खिलाफ हमलों की तरह, हमला “पैमाने और पहुंच में अभूतपूर्व” था और मार्च 2022 से चल रहे “सरल लेकिन अत्यधिक प्रभावी” फ़िशिंग अभियान का परिणाम था। निष्कर्ष निकाला कि यह है। .
ग्रुप-आईबी यूरोप के सीनियर थ्रेट इंटेलिजेंस एनालिस्ट रॉबर्टो मार्टिनेज ने कहा:
“यह अभी तक स्पष्ट नहीं है कि हमले की योजना पहले से शुरू की गई थी, या क्या प्रत्येक चरण में अवसरवादी कार्रवाई की गई थी। और पूरी तस्वीर कुछ समय के लिए ज्ञात नहीं हो सकती है।”
ग्रुप-आईबी ने खुलासा किया कि हमलावरों का प्राथमिक लक्ष्य लक्षित संगठनों के उपयोगकर्ताओं से ओक्टा आईडी क्रेडेंशियल और मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) कोड प्राप्त करना था। इन उपयोगकर्ताओं को आपके संगठन के ओक्टा प्रमाणीकरण पृष्ठ की नकल करने वाली एक फ़िशिंग साइट के लिंक वाला एक एसएमएस संदेश प्राप्त हुआ।
जांचकर्ता यह निर्धारित करने में असमर्थ थे कि हमलावरों ने सूचियों और लक्ष्यों को कैसे तैयार किया, या उन्होंने आवश्यक फोन नंबर कैसे प्राप्त किए, लेकिन उल्लंघन डेटा समूह-आईबी विश्लेषण करने में सक्षम था, यह दर्शाता है कि यह अभियान मोबाइल ऑपरेटरों और दूरसंचार से डेटा एकत्र करने के लिए अन्य हमले थे। कंपनियों के लॉन्च से पहले।
ग्रुप-आईबी के अनुसार, 0ktapus ने 169 अद्वितीय फ़िशिंग डोमेन का उपयोग किया और इसमें “SSO”, “VPN”, “Okta”, “MFA” और “help” जैसे कीवर्ड शामिल थे। ये साइटें लगभग वैध ओक्टा सत्यापन पृष्ठों की तरह दिखती हैं। इन सभी साइटों को एक नई फ़िशिंग किट का उपयोग करके बनाया गया था। किट में कोड था जो चोरी किए गए डेटा को छोड़ने के लिए हमलावरों द्वारा उपयोग किए जाने वाले टेलीग्राम बॉट और चैनलों को कॉन्फ़िगर कर सकता था।
कुल मिलाकर, 0ktapus ने कुल 9,931 अद्वितीय उपयोगकर्ता क्रेडेंशियल्स चुरा लिए, जिसमें वैध ईमेल पते के साथ 3,129 रिकॉर्ड और MFA कोड वाले 5,441 रिकॉर्ड शामिल हैं। दो-तिहाई रिकॉर्ड में वैध कॉर्पोरेट ईमेल नहीं थे, केवल उपयोगकर्ता नाम और एमएफए कोड थे, इसलिए शोध दल केवल उस क्षेत्र को निर्धारित करने में सक्षम था जिसमें उपयोगकर्ता स्थित थे। दूसरे शब्दों में, हम सभी लक्षित ऊतकों की पहचान करने में असमर्थ थे।
“0ktapus दिखाता है कि आधुनिक संगठन कुछ बुनियादी सोशल इंजीनियरिंग हमलों के प्रति कितने संवेदनशील हैं, और ऐसी घटनाओं का प्रभाव भागीदारों और ग्राहकों पर कितना दूरगामी हो सकता है। वृद्धि।”
रुस्तम मिर्कासिमोव, ग्रुप आईबी यूरोप
हम विश्वास के साथ कह सकते हैं कि 136 ज्ञात पीड़ितों में से 114 कंपनियां संयुक्त राज्य में मुख्यालय वाली कंपनियां थीं। कोई भी उपयोगकर्ता यूके में स्थित नहीं था, लेकिन यूके में स्थित लगभग 97 उपयोगकर्ताओं की साख 0ktapus द्वारा समझौता की गई थी। यह संयुक्त राज्य अमेरिका में 5,500 से अधिक की तुलना करता है। अन्य समझौता किए गए उपयोगकर्ता दुनिया भर में फैले हुए हैं, जिनमें से प्रत्येक में 40 से अधिक कनाडा, जर्मनी, भारत और नाइजीरिया में पाए गए हैं।
पीड़ित अधिकांश संगठन आईटी प्रदाता, सॉफ्टवेयर कंपनियां या क्लाउड सेवा कंपनियां जैसे क्लाउडफ्लेयर और ट्विलियो थे। कम संख्या में पीड़ित दूरसंचार क्षेत्र, सामान्य व्यावसायिक सेवाओं और वित्तीय सेवाओं में भी पाए गए, लेकिन फिर भी शिक्षा, खुदरा, रसद, कानूनी सेवाओं और उपयोगिताओं में बहुत कम संख्या में पाए गए। ग्रुप-आईबी ने कहा कि उसने सभी पहचाने गए पीड़ितों को सूचित कर दिया है।
0ktapus के पीछे हमलावरों की पहचान करने के संदर्भ में, Group-IB टेलीग्राम चैनल के एक व्यवस्थापक के कुछ विवरण प्राप्त करने में भी सक्षम था, जिससे उन्होंने अपने GitHub और Twitter खातों की पहचान की। यह व्यक्ति हैंडल X का उपयोग करता है और माना जाता है कि यह उत्तरी कैरोलिना, संयुक्त राज्य अमेरिका में रहता है, हालांकि यह वास्तविक स्थान नहीं हो सकता है।
ग्रुप-आईबी यूरोप में साइबर थ्रेट रिसर्च के प्रमुख रुस्तम मिर्कासिमोव ने कहा कि 0ktapus की तकनीक कुछ खास नहीं है, लेकिन कई पीड़ितों के साथ योजना बनाने और उनसे निपटने के प्रयास अभियान को उल्लेखनीय बनाते हैं। उन्होंने कहा कि यह एक बात बन गई है।
“0ktapus दिखाता है कि आधुनिक संगठन कुछ बुनियादी सोशल इंजीनियरिंग हमलों के प्रति कितने संवेदनशील हैं, और ऐसी घटनाओं का प्रभाव भागीदारों और ग्राहकों पर कितना दूरगामी हो सकता है। हमें उम्मीद है कि हमारे निष्कर्षों को सार्वजनिक करने से, अधिक व्यवसाय सावधानी बरतने में सक्षम होंगे उनकी डिजिटल संपत्ति की रक्षा करें। ”
समझौता (आईओसी) के टूटने के संकेतकों सहित समूह-आईबी के निष्कर्षों पर विस्तृत जानकारी; आप यहां पढ़ सकते हैं.
ओक्टा को लैप्सस $ साइबर-जबरन वसूली गिरोह द्वारा आपूर्ति श्रृंखला हमले में फंसाए जाने के बाद, हाल के महीनों में ओक्टा को एक तरह से या किसी अन्य में शामिल करने वाली यह दूसरी महत्वपूर्ण घटना है। तृतीय पक्ष Sitel से समझौता किया, जनवरी 2022। ऐसा कोई संकेत नहीं है कि दोनों घटनाओं का आपस में कोई संबंध हो।
प्रकाशन के समय, ओक्टा ने टिप्पणी के अनुरोधों का जवाब नहीं दिया।
