האקרים משתמשים בהנדסה חברתית כדי לשכנע את אנשי דסק ה- IT בארגונים המשתמשים במערכת Okta לאפס אימות רב-גורמי (MFA) עבור חשבונות ארגוניים בעלי הרשאות גבוהות, משיגים גישה לשירות ניהול גישת זהויות מבוסס ענן (IAM – Identity and Access Management) ונעים בתוך מערכות המחשוב של הארגון. Okta הינו שירות IAM מבוסס ענן ברמה ארגונית, המחבר בין משתמשים ארגוניים לבין יישומים והתקנים והוא נמצא בשימוש על ידי יותר מ- 17,000 לקוחות ברחבי העולם. למרות שהוא נבנה עבור מערכות מבוססות ענן, הוא גם תואם ליישומים מקומיים רבים.
לקוחות ארה"ב של Okta דיווחו על דפוס עקבי של מתקפות סייבר בשבועות האחרונים, כאשר ההאקרים מכוונים למשתמשים שלהם הוקצו הרשאות סופר אדמיניסטרטור – כך חשפה החברה בפוסט שפורסם לאחרונה בבלוג: "נראה שלהאקרים יש או סיסמאות לחשבונות משתמשים בעלי הרשאות גבוהות, או שהם מסוגלים לתמרן את זרימת האימות המואצל באמצעות Active Directory (AD) לפני התקשרות לדלפק ה- IT בארגון המותקף, תוך בקשה לאיפוס של כל גורמי ה -MFA בחשבון היעד. לאחר מכן ניגשים ההאקרים לחשבונות שנפגעו תוך שימוש בשירותי פרוקסי אנונימיים וב- IP ממכשירים שלא היו קשורים בעבר לחשבון המשתמש, במטרה לעשות שימוש לרעה בתכונות זהות לגיטימית המאפשרת להם להתחזות למשתמשים בתוך הארגון שנפגע. פעילויות ההאקרים כללו הקצאת הרשאות גבוהות יותר לחשבונות אחרים, איפוס מאמתים רשומים בחשבונות ניהול קיימים ובמקרים מסוימים, הסרה של דרישות אימות רב-גורמי ממדיניות האימות. כל אלו מאפשרים להאקרים לנוע לרוחב על פני רשתות מחשוב ארגוניות מבוססות ענן ולעסוק בפעילויות זדוניות אחרות".
ההאקרים ניצלו במתקפת סייבר תכונה של Okta בשם Inbound Federation, המאפשרת גישה ליישומים בספק זהות יעד (IDP) אם המשתמש אומת בהצלחה ל- IDP מקור. תכונה זו אשר יכולה לשמש גם להקצאת משתמשים, היא גם כזו המשמשת כדי לחסוך עבודה של חודשים במקרה של מיזוגים, רכישות ומכירה. הדבר פופולרי גם בקרב ארגונים גדולים הדורשים בקרה מרכזית, או ארגונים המבקשים לספק קבוצה אחת של יישומים באופן גלובלי תוך מתן אוטונומיה לחטיבות בודדות עבור המדיניות והאפליקציות שלהם. בהתחשב בכמות הכוח שיש למישהו עם גישה לתכונה הזו, היא מוגבלת למשתמשים בעלי ההרשאות הגבוהות ביותר במערכת Okta, המוגדרים כ- Super Admin או Organ Admin. אחד מהמנהלים הללו יכול גם להאציל את התפקיד הזה למנהל מותאם אישית כדי לצמצם את מספר האנשים עם הרשאות סופר אדמין בסביבות גדולות ומורכבות.
מתקפות סייבר אלו מדגישות את הסיבה מדוע חשוב להגן על גישה לחשבונות בעלי זכויות יתר בפתרונות IAM, על פי Okta, שהציעה שורה של המלצות למשתמשים לאבטח טוב יותר את החשבונות הללו בפריסות IAM שלהם. אכן, סגירת פער ההרשאות בין מספר כוחות עבודה הינה בעיה שכיחה בסביבות ענן ארגוניות. Okta ממליצה ללקוחות להגביל את השימוש בחשבונות בעלי הרשאות גבוהות, להחיל מדיניות גישה ייעודית למשתמשים ניהוליים וכן לנטר ולחקור כל שימוש חשוד בפונקציות השמורות למשתמשים מורשים. ארגונים המשתמשים ב- Okta יכולים גם להגדיר את מדיניות האימות של האפליקציה לגישה ליישומים מורשים – כולל מסוף הניהול – כדי לדרוש אימות מחדש בכל כניסה, כדי לאבטח טוב יותר את הסביבות שלהם. יתרה מכך, על מנת למנוע מהאקרים לכוון לאנשי תמיכת ה- IT כדי לקבל גישה לחשבונות, המליצה Okta לארגונים לחזק את תהליכי אימות זהות מבקשי העזרה באמצעות שילוב של אימות ויזואלי, זרימות עבודה מואצלות שבהן מפעילים אנשי תמיכת IT אתגרי MFA כדי לאמת את זהות המשתמש ו/או בקשות גישה הדורשות אישור מנהל לפני איפוס הגורמים.
על ארגונים גם לבדוק ולהגביל את השימוש בתפקידי סופר אדמין ולהטמיע עבורם ניהול גישה מועדף בלבד. לפי Okta, עליהם להשתמש בתפקידי Admin מותאמים אישית עבור משימות תחזוקה וכדי ליצור תפקידי Help Desk עם מינימום ההרשאות הנדרשות וכן, כדי להגביל את התפקידים הללו לקבוצות שאינן כוללות מנהלי מערכת בעלי הרשאות גבוהות.