Les clients du fournisseur Okta de solutions d’identification dans le cloud signalent des tentatives d’hameçonnage compromettant les comptes utilisateur·rice·s Okta disposant d’autorisations d’administrateur·rice.
« La stratégie des attaquants consiste à convaincre une personne du service d’assistance de réinitialiser tous les facteurs d’authentification multifactorielle (MFA) enregistrés par des utilisateurs très privilégiés », détaille une alerte de sécurité d’Okta. « Cela leur permet ensuite d’usurper l’identité d’utilisateurs au sein de l’organisation compromise ». Après avoir obtenu l’accès aux comptes d’administration, Scattered Spider attribue des privilèges plus élevés à d’autres comptes et supprime les exigences d’authentification à deux facteurs.
Les entreprises ciblées sont généralement liées à des infrastructures critiques.
Selon le responsable de la sécurité chez Okta, David Bradbury, au moins quatre attaques de ce type ont eu lieu entre la fin juillet et le 19 août. « Il pourrait s’agir d’attaques menées par Scattered Spider, également connu sous les noms de UNC3944, Scatter Swine et Muddled Libra ».
Okta propose plusieurs mesures pour se protéger contre cette campagne de ‘phishing’, notamment l’usage d’une authentification résistante au phishing et l’exigence d’une réauthentification à chaque ouverture de session pour les applications privilégiées. La société conseille également de limiter l’usage des rôles d’administrateur et d’exiger que ces derniers se connectent à partir d’appareils utilisant l’authentification multifactorielle. Il est également recommandé d’activer les notifications de nouveaux appareils sur le réseau et d’activités suspectes afin de recevoir des alertes à propos de tout comportement potentiellement malveillant.