Trong một bước phát triển quan trọng về an ninh mạng, Retool, một công ty phát triển phần mềm, đã chỉ ra việc giới thiệu tính năng đồng bộ hóa đám mây Tài khoản Google gần đây là nguyên nhân sâu xa đằng saugian lận đã nhắm mục tiêu vào công ty quản lý tiền điện tử Fortress Trust (gần đây đã được Ripple mua lại).

Retool, được công nhận vì cung cấp dịch vụ đám mây cho nhiều khách hàng khác nhau, bao gồm cả Fortress Trust, đã có một tiết lộ đáng kinh ngạc.

Cácvi phạm an ninh đã tác động đến tất cả 27 tài khoản khách hàng dựa trên đám mây trong tầm ngắm của họ, cuối cùng dẫn đến khoản lỗ đáng kể 15 triệu USD cho Fortress Trust.

Vi phạm này đã thu hút sự chú ý không chỉ từ những người trong ngành mà còn từ những nhân vật có ảnh hưởng như blogger và nhà báo tiền điện tử Trung Quốc Colin Wu, người đã chia sẻ những hiểu biết sâu sắc về vụ việc.

Theo Colin, lỗ hổng bị tin tặc khai thác dường như có liên quan đến các biện pháp bảo mật bổ sung do một ứng dụng xác thực chính cung cấp.

Vụ hack của Fortress Trust bắt đầu như thế nào?

Snir Kodesh, Trưởng phòng Kỹ thuật tại Retool, đã làm sáng tỏ một lỗ hổng bảo mật nghiêm trọng bắt nguồn từ bản cập nhật gần đây của Google.

Bản cập nhật này, mà quản trị viên không hề biết, đã chuyển tiêu chuẩn xác thực đa yếu tố sang xác thực một yếu tố, cuối cùng đặt nền tảng cho mộtvi phạm an ninh .

Vi phạm này có nguồn gốc từ một cuộc tấn công kỹ thuật xã hội qua SMS nhắm mục tiêu cụ thể vào nhân viên của Retool.

Kẻ độc hại đã sử dụng một mưu mẹo thông minh, đóng giả làm thành viên của nhóm CNTT, để phát tán các liên kết có hại cho những nhân viên không nghi ngờ.

Tin nhắn đi kèm được cho là giải quyết vấn đề về bảng lương, dụ dỗ một nhân viên vô tình nhập thông tin đăng nhập của họ vào một trang đích lừa đảo.

Sau đó, tin tặc đã nâng cao chiến thuật của mình bằng cách sử dụng giọng nói giả trầm trong cuộc gọi điện thoại với nhân viên để trích xuất mã xác thực đa yếu tố.

Được trang bị mã này, tin tặc đã tiến hành thêm thiết bị của riêng chúng vào tài khoản của nhân viên, chiếm được phương tiện để tự tạo mã xác thực đa yếu tố một cách hiệu quả.

Điều này cho phép họ thiết lập một phiên Google Workspace đang hoạt động trên thiết bị của mình. Đây là một bước quan trọng giúp họ có quyền truy cập vào hệ thống quản trị nội bộ.

Khi đã vào bên trong, tin tặc ngay lập tức chiếm quyền kiểm soát tài khoản của khách hàng, thực hiện các thay đổi đối với địa chỉ email và mật khẩu.

Điều này dẫn đến việc tài sản tiền điện tử trị giá 15 triệu đô la bị mất.

Mặc dù Retool đã kiềm chế tiết lộ mức độ ảnh hưởng của cuộc tấn công đối với nhóm khách hàng khác của mình, nhưng mức độ tinh vi tuyệt đối của hoạt động này cho thấy những kẻ bất lương có thể sở hữu kiến ​​thức chuyên môn nâng cao, thậm chí có thể sở hữu kiến ​​thức nội bộ cho phép chúng điều chỉnh các chiến dịch lừa đảo của mình với độ chính xác.

Ai đứng sau vụ cướp tiền điện tử trị giá 15 triệu đô la trên Fortress Trust?

Mặc dù danh tính của thủ phạm vẫn chưa được xác định rõ ràng, nhưng chiến thuật của chúng rất giống với phương thức hoạt động của Scattered Spider, còn được gọi là UNC3944 — một kẻ đe dọa tài chính nổi tiếng với khả năng thực hiện thành thạo các chiến dịch lừa đảo phức tạp.

Hơn nữa, việc triển khai công nghệ deep-fake và phương tiện truyền thông tổng hợp đã giương cờ đỏ ở các cấp cao nhất của chính phủ Hoa Kỳ (US).

Những công cụ này đã làm dấy lên mối lo ngại về khả năng khai thác của chúng trên một loạt hoạt động độc hại, trải dài từ các cuộc tấn công xâm phạm email doanh nghiệp (BEC) đến lừa đảo tiền điện tử.