Jak Scattered Spider wykorzystał fałszywe połączenia, aby włamać się do systemu Clorox za pośrednictwem Cognizant

Gigant branży środków czyszczących, Clorox, pozwał swojego partnera w zakresie usług informatycznych, Cognizant, twierdząc, że niszczycielski atak ransomware z sierpnia 2023 r., który sparaliżował produkcję i kosztował firmę 380 mln dolarów utraconych przychodów, był spowodowany zaniedbaniem firmy.

W pozwie do Sądu Najwyższego Kalifornii, Clorox twierdzi, że hakerzy powiązani z grupą Scattered Spider po prostu uzyskali dane uwierzytelniające, dzwoniąc do biura obsługi klienta Cognizant w celu zresetowania hasła. Clorox zarzuca również Cognizant, że błędnie udzielił odpowiedzi, co wydłużyło czas odzyskiwania danych.

Specops Software, firma zajmująca się analizą bezpieczeństwa, opublikowała szczegółową analizę tego incydentu, ujawniając dokładnie, jak przebiegał ten prosty atak na biuro obsługi klienta i oferując ważne wnioski dla organizacji.

Według ich badań , udostępnionych Hackread.com, incydent rozpoczął się 11 sierpnia 2023 roku. Atakujący, podszywając się pod legalnych pracowników, wielokrotnie dzwonili do działu obsługi klienta Cognizant. Ich celem było uzyskanie haseł i zresetowanie uwierzytelniania wieloskładnikowego ( MFA ) zablokowanych pracowników.

Pomimo jasnych procedur firmy Clorox, konsultant działu obsługi klienta podobno ominął te protokoły, nie weryfikując tożsamości dzwoniącego i nie podając nowych danych uwierzytelniających. Co gorsza, do podszywającego się pracownika ani jego przełożonego nie wysłano żadnych e-maili z alertami – co stanowiło podstawowe powiadomienie, które mogłoby ostrzec zespół bezpieczeństwa firmy Clorox.

Hakerzy powtórzyli tę taktykę, uzyskując dostęp do drugiego konta należącego do pracownika działu bezpieczeństwa IT. To natychmiast zwiększyło ich uprawnienia administratora domeny , dając im nieograniczony dostęp do głównego środowiska Active Directory firmy Clorox, które kontroluje dostęp użytkowników w całej sieci.

Posiadając wysokie uprawnienia, intruzi błyskawicznie wyłączyli zabezpieczenia, zwiększyli swoje uprawnienia i wdrożyli ransomware na kluczowych serwerach. To po cichu zaszyfrowało dane, przerywając kluczowe połączenia między systemami produkcyjnymi, dystrybucyjnymi i IT. Linie produkcyjne zostały wstrzymane, a realizacja zamówień ustała. Clorox odnotował 49 milionów dolarów bezpośrednich kosztów napraw i oszałamiającą stratę przychodów w wysokości 380 milionów dolarów.

Ryzyko związane z outsourcingiem kluczowych funkcji wsparcia IT, choć oferuje oszczędności, może prowadzić do powstania luk w zabezpieczeniach. Warto zauważyć, że brytyjski sprzedawca detaliczny Marks & Spencer's doświadczył podobnego incydentu, kiedy Scattered Spider oszukał pracowników swojego działu pomocy technicznej IT, Tata Consultancy Services (TCS), zmuszając ich do zresetowania uprawnień dostępu, uzyskując jednocześnie dostęp do Active Directory.

Ten incydent uwydatnia ciągłe zagrożenie ze strony Scattered Spider (znanego również jako 0ktapus, UNC3944). Jak donosi Hackread.com, grupa ta była zamieszana w liczne głośne naruszenia bezpieczeństwa, w tym w MGM Resorts i innych dużych sieciach handlowych .

Ich uporczywe wykorzystywanie działów pomocy technicznej do ataków na środowiska VMware vSphere w celu wdrażania oprogramowania ransomware bezpośrednio z hiperwizora do incydentu Clorox pokazuje, że proste ludzkie słabości, jeśli nie zostaną usunięte, mogą doprowadzić do ogromnych strat finansowych i operacyjnych.

Aby ograniczyć te ryzyka, organizacje muszą egzekwować rygorystyczne umowy o gwarantowanym poziomie usług (SLA) z kontrahentami, regularnie przeprowadzać ćwiczenia red team ( symulowane ataki ) na procesach outsourcingowych oraz żądać przejrzystego raportowania w czasie rzeczywistym działań wysokiego ryzyka. Co najważniejsze, uprawnienia działu pomocy technicznej powinny być zablokowane, aby uniemożliwić agentom resetowanie kont administratorów lub kont z uprawnieniami IT bez dodatkowych procedur zatwierdzania.