Coincuによると、ソフトウェア会社Retoolは、27の仮想通貨顧客アカウントを侵害し、数百万ドルの損失をもたらしたサイバー攻撃の詳細を公開した。2023年8月27日に発生したこの侵害により、Google Authenticatorに関連する重大な脆弱性が露呈した。
この攻撃は、Google Authenticator のクラウド同期機能を悪用し、多要素認証を実質的に一要素システムに変換しました。攻撃者は Okta アカウントの制御権を獲得し、その後、Google Authenticator に保存されているすべてのワンタイム パスワード (OTP) を保持する関連する Google アカウントの制御権を奪取しました。これまで安全であると考えられていたこの同期機能は、新しい攻撃ベクトルであることが判明しました。
この事件は、Retool の従業員を狙った SMS フィッシング攻撃から始まりました。攻撃者は IT チームのメンバーを装っていました。従業員は、給与関連の問題に対処するために、一見正当なリンクをクリックするよう強制されました。従業員が Google Authenticator のクラウド同期機能を有効にしたときに、追加のセキュリティ上の欠陥が見つかり、攻撃者が内部管理システムへの高度なアクセス権を取得しました。その後、攻撃者は暗号通貨業界の 27 人の顧客の電子メール アドレスを変更し、パスワードをリセットしました。その結果、CoinDesk の報告によると、Fortress Trust から 1,500 万ドル相当の暗号通貨が盗まれるなど、大きな損失が発生しました。
ハッカーの正確な身元は明らかにされていないが、彼らの戦術は、洗練されたフィッシング技術を使用することで知られる、金銭目的の脅威アクターである Scattered Spider の戦術に似ている。Retool は、この侵害によってオンプレミスまたは管理アカウントへの不正アクセスが許可されたわけではなく、同社のログインが Okta に移行した時期と一致していると保証している。