Поставщик сервиса аутентификации Okta в среду назвал компанию Sitel третьей стороной, связанной с инцидентом безопасности, произошедшим в компании в конце января, который позволил банде вымогателей LAPSUS$ удаленно завладеть внутренней учетной записью, принадлежащей инженеру службы поддержки клиентов.
Компания добавила, что 366 корпоративных клиентов, или около 2,5% ее клиентской базы, могли пострадать от «крайне ограниченного» взлома.
«20 января 2022 года команда безопасности Okta была предупреждена о том, что к учетной записи Okta инженера службы поддержки клиентов компании Sitel был добавлен новый фактор аутентификации» - сообщается в заявлении директора по безопасности Okta Дэвида Брэдбери. «Этим фактором был пароль».
Публикация данных по инциденту произошла после того, как LAPSUS$ разместил скриншоты приложений и систем Okt примерно через два месяца после того, как хакеры получили доступ к внутренней сети компании в течение пяти дней с 16 по 21 января 2022 года, используя протокол удаленного рабочего стола, пока не была обнаружена активность MFA и учетная запись не была приостановлена до дальнейшего исследования.
Хотя компания изначально пыталась преуменьшить масштаб инцидента, группа LAPSUS$ обвинила компанию из Сан-Франциско во лжи, заявив: «Я все еще не понимаю, как это может быть неудачным взломом? Вход на портал под SuperUser с возможностью сбросить пароль и MFA ~95% клиентов не является успешным?».
Вопреки своему названию, SuperUser, по словам Okta, используется для выполнения основных функций управления, связанных с функционалом клиентов, и работает по принципу наименьших привилегий (PoLP), предоставляя персоналу поддержки доступ только к тем ресурсам, которые относятся к их роли.
Okta, которая подверглась критике за задержку с уведомлением клиентов об инциденте, отметила, что 21 января поделилась признаками компрометации с компанией Sitel, которая затем привлекла неназванную судебно-экспертную команду, которая, в свою очередь, провела расследование и поделилась своими выводами 10 марта 2022 года.
Согласно хронологии событий, представленной компанией, «Okta получила краткий отчет об инциденте от Sitel» на прошлой неделе, 17 марта 2022 года.
«Я очень разочарован длительным периодом времени, который прошел между уведомлением компании Sitel и выпуском полного отчета о расследовании» - заявил Брэдбери. «Поразмыслив над кратким отчетом Sitel, мы должны были быстрее разобраться в его последствиях».
«Если вас смущает заявление Okta о том, что «сервис не был взломан», помните, что это заявление - чисто юридический словесный суп» - заявила исследователь безопасности Руна Сандвик в Твиттере. «Факт в том, что данные третьих лиц были скомпрометированы; это нарушение повлияло на Okta; нераскрытие этого факта повлияло на клиентов Okta».
За LAPSUS$ стоит 16-летний подросток?
Взломы систем безопасности Okta и Microsoft - последние в череде проникновений, организованных группой LAPSUS$, которая также провела атаки на такие известные компании, как Impresa, NVIDIA, Samsung, Vodafone и Ubisoft. Группа также известна тем, что рекламирует свои завоевания на активном канале Telegram, который насчитывает более 46 200 участников.
Компания Check Point, занимающаяся кибербезопасностью, назвала LAPSUS$ «португалоязычной хакерской группой из Бразилии», а Microsoft отметила ее «уникальную смесь тактик», которая включает в себя подмену SIM-карт, непропатченные дефекты серверов, разведку в Darknet и фишинг с помощью телефонов.
«Однако реальная мотивация группы все еще неясна, даже если она утверждает, что преследует исключительно финансовые цели» - заявила израильская компания. «LAPSUS$ активно взаимодействует со своими последователями и даже публикует интерактивные опросы о том, кто должен стать их следующей целью».
Но в истории случился интересный поворот: издание Bloomberg сообщило, что «16-летний подросток, живущий в доме своей матери недалеко от Оксфорда, Англия», может быть мозгом операций LAPSUS$, ссылаясь на четырех исследователей, изучающих данную группировку. Другим членом LAPSUS$ предположительно является подросток, проживающий в Бразилии.
Более того, предполагаемый хакер-подросток, выступающий в сети под псевдонимами «White» и «breachbase», возможно, также принимал участие во взломе Electronic Arts в июле прошлого года, судя по последнему отчету эксперта по кибербезопасности Брайана Кребса, в котором подробно описывается деятельность основного члена LAPSUS$, известного как «Oklaqq» или «WhiteDoxbin».
«Еще в мае 2021 года Telegram ID WhiteDoxbin был использован для создания аккаунта в Telegram для запуска распределенных DDoS-атак, где он представился как «@breachbase» - отметил Кребс. «Новости о взломе EA в прошлом году были впервые опубликованы в киберпреступном подполье пользователем «Breachbase» на англоязычном хакерском сообществе RaidForums, которое недавно было закрыто ФБР».
Источник: https://thehackernews.com
