Gli esperti di CrowdStrike hanno rilevato un aumento degli attacchi contro gli operatori telefonici da parte del gruppo Scattered Spider. Tra giugno e novembre sono state individuate almeno cinque intrusioni nelle reti aziendali, sfruttando varie tecniche per l’accesso iniziale e la persistenza. L’obiettivo dei cybercriminali è accedere alle informazioni degli abbonati e mettere in atto il cosiddetto SIM swapping.
Furto di dati e SIM swapping
In molti casi, l’accesso iniziale è stato ottenuto tramite tecniche di ingegneria sociale. I dipendenti degli operatori telefonici sono stati contattati via SMS, chiamate o Telegram da un presunto staff IT. I cybercriminali hanno convinto le ignare vittime ad inserire le credenziali di login in un sito simile a quello aziendale oppure ad installare un tool di controllo remoto. Se era attivata l’autenticazione multi-fattore, il gruppo Scattered Spider ha chiesto di comunicare direttamente i codici OTP oppure ha utilizzato la tecnica nota come MFA fatigue (invio continuo di notifiche push).
In altri casi sono state sfruttate credenziali compromesse di Azure e una vulnerabilità dell’application server ForgeRock OpenAM. Dopo aver guadagnato l’accesso ai sistemi interni, i cybercriminali hanno aggiunto i loro dispositivi all’elenco di quelli affidabili (per ricevere i codici MFA). La persistenza è stata invece ottenuta con vari tool di gestione e monitoraggio remoto, tra cui TeamViewer, AnyDesk, LogMeIn, ScreenConnect e BeAnywhere.
Essendo software legittimi non vengono bloccati dalle soluzioni di sicurezza. In tutti i casi sono stati utilizzati varie VPN per accedere agli ambienti Google Workspace. L’obiettivo è raccogliere informazioni sugli abbonati ed effettuare il famigerato SIM swapping, ovvero il trasferimento del numero di telefono sulle SIM dei cybercriminali.
Ti potrebbe interessare
6 dic 2022