Это была напряженная неделя для коллектива хакеров и вымогателей Lapsus€. Сначала он слил то, что, как он утверждал, было информацией об учетной записи сотрудника LG Electronics, например, исходный код нескольких продуктов Microsoft.

Несколько часов спустя группа также опубликовала скриншоты, показывающие, что они взломали систему управления идентификацией и доступом компании Okta. Слухи о возможном взломе быстро распространились в сети.

Okta предоставляет услугу единого входа для крупных организаций, которая позволяет сотрудникам входить в несколько систем, не требуя отдельного пароля для каждой системы. Взлом Okta может иметь потенциально серьезные последствия для клиентов сервиса.

Ответ Окты

Okta опубликовала предварительное заявление во вторник утром, утверждая, что скриншоты, опубликованные Lapsus€, связаны с «попыткой скомпрометировать учетную запись внешнего инженера по обслуживанию клиентов, работающего на одного из наших подрядчиков», которая произошла в январе текущего года.

Во втором заявлении Дэвида Брэдли, сотрудника службы безопасности Okta, подробно рассказывается о «неудачной попытке» взломать учетную запись инженера службы поддержки.

Уверяя клиентов сервиса, что «сервис Okta не был взломан и все еще полностью функционирует», он также признал, что судебное расследование показало, что «между 5 и XNUMX января XNUMX года существовало XNUMX-дневное временное окно». XNUMX, где злоумышленник имел доступ к ноутбуку инженера службы поддержки». Брэдли, однако, настаивал на том, что «потенциальное влияние на клиентов службы Okta ограничено доступом, который имеют инженеры службы поддержки», отметив, в частности, что хакерский набор не может загружать данные с клиентов службы и не имеет доступа к пароли.

Независимый специалист по безопасности Билл Демиркапи сообщил TechRadar Pro более подробную информацию по электронной почте. Он объяснил, что внешний инженер службы поддержки, по-видимому, работал на SYKES Enterprises, Inc, что теперь подтверждено Okta, и что «из-за доступа, который имел этот персонал службы поддержки, Lapsus € смог взломать внутренний Slack, Jira и административный сервер Okta». панель доступа, используемая для помощи клиентам сервиса». Он добавил, что «не похоже, что у Lapsus все еще есть доступ к среде Okta».

Во вторник днем ​​Lapsus€ ответил на заявление Брэдли в своем Telegram-канале, поставив под сомнение его характеристику атаки как «неудачной». Lapsus также заявил, что Okta сохранил ключи AWS в Slack, и призвал компанию ждать так долго. чтобы уведомить своих пользователей о несчастном случае в январе.

(Изображение предоставлено Ребеккой Моррис)

С тех пор Брэдли признал, что «небольшой процент клиентов услуг - около двух целых пяти процентов [366 компаний] - потенциально пострадал» в результате аварии, и их данные могли быть «доступны или обработаны», хотя далее он настаивает на том, что « нет никаких корректирующих действий, которые должны предпринимать клиенты наших услуг».

В отдельном посте Брэдли изложил график инцидента и обратился к предыдущему упоминанию Лапсуса о портале «суперпользователя», отклонив утверждения о том, что он предоставил ансамблю «божественный доступ» к учетным записям клиентской службы. Вместо этого Брэдли пояснил, что SuperUser Portal «представляет собой приложение, разработанное с учетом минимальных привилегий, чтобы гарантировать, что инженеры службы поддержки получают только тот доступ, который им необходим для выполнения своих обязанностей».

Okta столкнулась с критикой как со стороны Lapsus, так и со стороны индустрии безопасности за то, что не обнаружила январскую аварию раньше. Как и ожидалось, утечка встревожила инвесторов, что привело к падению цены акций Okta, как и понижение рейтинга Raymond James Equity Research.

Кто такой Лапсус?

Несмотря на хаос, устроенный его членами на этой неделе, Lapsus€ частично новичок в сфере киберпреступности. Коллектив хакеров вырос в конце прошлого года, но уже взломал такие громкие имена, как Microsoft, Nvidia, Samsung и Ubisoft.

Во вторник Microsoft опубликовала отчет о Lapsus€, отметив, что организация необычно рекламирует свою деятельность в социальных сетях и явно набирает сотрудников, которые быстро предоставляют доступ к компаниям, которых они хотят взломать.

Хотя это привлекает онлайн-энтузиастов группы, присутствие Lapsus в социальных сетях также работает себе во вред. Lapsus продвигала атаку на Microsoft в социальных сетях по мере ее развития, при этом Microsoft заявляла, что она «усилила наши действия, позволив нашей команде вмешаться и нарушить работу злоумышленника, тем самым ограничив более широкое воздействие».

Bloomberg сообщил в среду, что двое членов Lapsus, как полагают, подростки, один живет недалеко от Оксфорда в Великобритании, а другой в Бразилии. Британский подросток, известный под псевдонимами White и Breachbase, был идентифицирован специалистами по кибербезопасности в середине XNUMX года после того, как оставил информацию о себе в Интернете. Его также обманули другие хакеры, которые утверждают, что у него почти XNUMX миллионов евро в криптовалютах.

В четверг BBC сообщила, что 7 человек в возрасте от 7 до XNUMX года были арестованы полицией лондонского Сити в связи с расследованием дела Lapsus, хотя было неясно, были ли подростки, упомянутые Bloomberg, частью группы. задержанные. С тех пор все XNUMX отпущены под следствие.

Swipe$ Okta взломать телеграмм чат

(Изображение предоставлено Ребеккой Моррис)

Во вторник вечером Lapsus€ объявил, что группа «может замолчать» на некоторое время, так как некоторые ее участники уходят «в отпуск до 30». Хотя банда пообещала «постараться слить информацию как можно скорее», в свете недавних арестов коллектив может взять более длительный перерыв, чем ожидалось.

Несмотря на свою молодость, подростки-члены Lapsus€ чрезвычайно эффективны. Как отмечает Microsoft, Lapsus «понимает взаимосвязанный характер удостоверений и доверительных отношений в современных технологических экосистемах и нацелен на телекоммуникационные, технологические, ИТ-услуги и компании поддержки, чтобы использовать их доступ из одной организации для получения доступа к организациям-партнерам или дистрибьюторам».

Как компании могут защитить себя

Отчет Microsoft содержал советы для компаний о том, как защититься от атак Lapsus. В отчете отмечается, что «многофакторная аутентификация (MFA) является одной из основных линий защиты» от хакерского сообщества. Мас также указал, что небезопасных методов, таких как SMS MFA, недостаточно, поскольку Lapsus€ участвовал в атаках с подменой SIM-карты для доступа к кодам SMS MFA.

Поскольку Lapsus часто крадет учетные данные с помощью социальной инженерии, Microsoft также посоветовала повысить осведомленность сотрудников о подобных атаках. Другие предложения включали использование «современных вариантов аутентификации» для VPN и обеспечение того, чтобы каналы связи реагирования на инциденты «тщательно отслеживались на предмет неавторизованных участников» в случае, если Lapsus попытается проникнуть.

Кроме того, Microsoft предоставила набор ресурсов, которые компании могут использовать, чтобы помочь «предупреждать, отслеживать и реагировать» на атаки со стороны Slipper или связанных с ними имитаторов.

Поделиться