黑客攻陷Okta发动供应链攻击，影响130多家组织机构

Signal 公司报道称其1900名用户账户很可能被黑，收到客户委托调查后发现，客户仅仅是多家遭大规模钓鱼攻击的著名组织机构之一。攻击者的初始目标很清晰：从目标组织机构用户处获得身份验证管理提供商 Okta公司的身份凭据和双因素验证码。之后攻击者即可越权访问受害者可访问的任何企业资源。

这起攻击的特别之处在于，尽管攻击者使用的是无需太高技能的攻击方法，但仍然攻陷了大量著名组织机构。另外，一旦攻击者攻陷得手，则可快速跳转并发动后续的供应链攻击，这说明攻击是提前仔细策划的。

从客户以及Twilio 和 Cloudflare 公司发布的公开报告可知，这起攻击是精心策划并执行的。攻击者瞄准了Okta的企业用户员工。这些员工收到仿冒Okta认证页面的钓鱼网站链接的手机短信。

对于员工而言，钓鱼网站非常具有说服力，和平时见到的认证页面非常相似。用户被要求提供用户名和密码，接着第二个网页要求输入双因素验证码。输入验证码后，浏览器被迫下载远程管理工具AnyDesk的合法副本。为何会发短信，且将 AnyDesk.exe推向受害者资产？这说明攻击者可能经验并不丰富。而且钓鱼网站是静态的，说明攻击者无法实时和受害者进行交互。要在双因素验证码过期前获得访问权限，必须在获得验证码后使用受陷数据。这意味着攻击者在持续监控工具并使用这些凭据。攻击者随后通过钓鱼包将受害者凭据传到受控制的 Tegegram频道，最后发动供应链攻击。随后研究人员分析出攻击者的网络身份。

研究人员指出，目前不能确定攻击者是否从头到尾都进行了精心策划，还是伴有一些随机行动，但无疑这起攻击活动是成功的。

研究人员指出，多数目标企业位于美国，其中包括总部在其它国家但位于美国的员工遭攻击的情况。

由于三分之二的受陷数据中并不包含企业邮件而只包含用户名和2FA验证码，因此无法识别所有目标企业，仅能识别受害者的居住地。多数受害者企业提供IT、软件开发和云服务，攻击者试图获取凭据以访问私密数据、企业邮件和内部文档。因金融企业也包含在受害者清单中，因此攻击者也在试图窃取钱财；一些目标企业提供对加密资产和市场的访问权限，一些是开发投资工具。攻击者或者也试图在后期实施勒索攻击。

目前尚不清楚攻击者如何准备目标清单以及如何获取到电话号码，但研究人员认为攻击始于对移动运营商和电信企业的攻击，某些手机号码可能源自这些初始攻击。

研究人员指出，在很多情况下攻击者针对的是邮件列表或面向客户的系统，以便发动供应链攻击。如市场营销公司Klaviyo 与密币相关账户关联的个人信息遭泄露包括姓名、地址、邮件和电话号码等，这些信息后续可用于窃取密币。邮件平台 Mailchimp遭攻陷，攻击者获得对加密相关企业数据的访问权限，其客户 DigitalOcean技术公司的客户可能遭攻陷。电话验证提供商Twilio遭攻击，攻击者试图在新的移动设备上重新注册Signal账户。

虽然攻击者的成功可能有赖于运气，但他们更可能仔细构造攻击，目的是发动如上述复杂的供应链攻击。目前尚不清楚这起攻击的潜在影响。