Questa settimana, i procuratori federali di Los Angeles hanno svelato le accuse penali contro cinque uomini, ritenuti membri di un gruppo di hacker responsabile di numerose intrusioni informatiche in importanti aziende tecnologiche statunitensi tra il 2021 e il 2023. Le aziende colpite includono LastPass, MailChimp, Okta, T-Mobile e Twilio. Questi individui, di età compresa tra i 20 e i 25 anni, sono sospettati di far parte di una cospirazione chiamata “Scattered Spider” e “Oktapus”, specializzata in attacchi di phishing tramite SMS. Questi attacchi ingannavano i dipendenti delle aziende tecnologiche facendoli inserire le loro credenziali e codici temporanei su siti di phishing.

Attacchi di Phishing SMS

Gli SMS mirati richiedevano ai dipendenti di cliccare su un link e accedere a un sito che imitava la pagina di autenticazione Okta del loro datore di lavoro. Alcuni messaggi informavano i dipendenti che le loro credenziali VPN stavano per scadere, mentre altri notificavano modifiche al loro orario di lavoro. Gli attacchi sfruttavano domini di recente registrazione che spesso includevano il nome dell'azienda mirata, come twilio-help[.]com. I siti di phishing erano solitamente online solo per una o due ore, evitando così di essere segnalati dai servizi di sicurezza.

Kit di Phishing e Bot Telegram

I kit di phishing utilizzati in queste campagne includevano un bot nascosto di messaggistica istantanea Telegram, che inoltrava in tempo reale le credenziali inserite. Questo permetteva agli attaccanti di utilizzare il nome utente, la password e il codice temporaneo pescati per accedere come dipendenti ai siti veri dei datori di lavoro. Nel 2022, diverse aziende di sicurezza hanno avuto accesso al server che riceveva i dati da questo bot, scoprendo l'ID Telegram e il nickname del suo sviluppatore, noto come "Joeleoli".

Attacchi a Twilio e Altri Bersagli

Uno dei primi grandi bersagli di Scattered Spider nella sua serie di attacchi di phishing tramite SMS nel 2022 è stata Twilio. Il gruppo ha poi usato l'accesso a Twilio per attaccare almeno 163 dei suoi clienti, cercando principalmente di rubare criptovaluta dalle aziende vittime e dai loro dipendenti. Molti dei domini di phishing del gruppo sono stati registrati tramite il registrar NameCheap. Le indagini hanno rivelato che le persone gestivano questi siti da un indirizzo Internet in Scozia, che risultava affittato a Tyler Buchanan, un ventiduenne di Dundee.

Arresto e Accuse

Tyler Buchanan è stato arrestato in Spagna mentre cercava di imbarcarsi su un volo per l'Italia. Secondo le autorità, gran parte della sua ricchezza in criptovaluta derivava da attacchi di SIM swapping. Questo tipo di attacco consente ai criminali di trasferire il numero di telefono della vittima su un dispositivo controllato dall'attaccante, intercettando così messaggi di testo e chiamate, inclusi codici di autenticazione temporanei.

I membri di Scattered Spider sono anche accusati di essere coinvolti in un attacco ransomware contro MGM Resorts nel 2023. Il gruppo è stato accusato di cospirazione per commettere frode elettronica e furto d'identità aggravato.