0
0
Um incidente de segurança no final de janeiro de 2022 na Okta que seus executivos descreveram há apenas um dia, descreveu como uma tentativa fracassada de comprometer a conta de um engenheiro de suporte terceirizado que potencialmente afetou 366 de seus clientes, admitiu a empresa.
Uma análise que a Okta realizou mostra que os atacantes potencialmente foram capazes de visualizar ou agir sobre dados pertencentes a esses clientes, disse o diretor de segurança do provedor de autenticação, David Bradbury, em um comunicado no final da noite de terça-feira. Em uma teleconferência na quarta-feira de manhã, no entanto, Bradbury reiterou que não havia necessidade de as organizações afetadas tomarem medidas de remediação porque o acesso do engenheiro terceirizado aos seus sistemas tinha sido “altamente constrangido”.
“Quero repetir que, como resultado do acesso restrito fornecido, e nossa análise exaustiva das ações realizadas durante esse período, acreditamos que nenhuma ação corretiva precisa ser tomada por nossos clientes”, disse Bradbury. “Agora, embora não seja um passo necessário para nossos clientes tomarem, esperamos plenamente que você queira concluir sua própria análise.”
Um grupo de extorsão online chamado Lapsus$ postou na segunda-feira oito capturas de tela através de seu canal no Telegram que o grupo alegou ter pego de sistemas internos em Okta em janeiro. As capturas de tela sugeriram que os invasores conseguiram obter acesso aos bilhetes de suporte ao cliente da Okta em Jira, mensagens de bate-papo no Slack e uma ferramenta de administração back-end rotulada como “Superusuário” para gerenciar clientes.
O lançamento das capturas de tela gerou uma preocupação considerável dentro do setor, pois a Okta é um dos maiores provedores de serviços de autenticação de identidade do mundo. Cerca de 15.000 organizações – incluindo algumas das maiores empresas do mundo e muitas agências governamentais – usam a Okta para controlar o acesso a seus aplicativos e dados.
Um problema particular é a captura de tela sugerindo que a Lapsus$ tinha acessado uma conta “Superusuário” na Okta — algo que muitos presumiam que teria dado ao grupo a capacidade de manipular contas de clientes da Okta. Uma captura de tela, na verdade, mostrou os atacantes aparentemente tendo conseguido ter acesso ao ambiente do cliente Da Okta Cloudflare.
Sem acesso “divino”
Bradbury afirmou que a conta do Superuser não forneceu “acesso divino” a todos os seus usuários. “Este é um aplicativo construído com menos privilégio em mente para garantir que os engenheiros de suporte sejam concedidos apenas o acesso específico necessário para desempenhar suas funções.” A conta não deu aos usuários a capacidade de criar ou excluir usuários, baixar bancos de dados de clientes ou acessar repositórios de código-fonte, disse Bradbury. Ele também minimizou a importância do acesso que Lapsus$ tinha a ferramentas que Okta usava internamente, como Jira e Slack.
De acordo com Bradbury, as capturas de tela okta que Lapsus$ postou online esta semana foram obtidas de um computador pertencente a um engenheiro que trabalha para Sykes, uma subsidiária da Sitel, uma empresa que fornece serviços de suporte para os clientes da Okta. O invasor obteve acesso ao dispositivo via Remote Desktop Protocol (RDP) enquanto ele estava logado no Okta. “Assim, embora o invasor nunca tenha tido acesso ao serviço Okta via aquisição de conta, uma máquina que estava logado na Okta foi comprometida e eles foram capazes de obter capturas de tela e controlar a máquina através da sessão RDP”, disse Bradbury.
Okta soube do incidente pela primeira vez em 20 de janeiro, quando sua equipe de segurança recebeu um alerta sobre um novo fator de autenticação multifatorial sendo adicionado à conta Okta de um funcionário da Sitel a partir de um novo local. O alerta desencadeou uma investigação forense, que um dia depois terminou com Okta encerrando a sessão okta do funcionário do Sitel e uma suspensão da conta do usuário. Okta também compartilhou seus dados com a Sitel, que então contratou uma empresa terceirizada própria para investigar o incidente. Bradbury disse que Okta recebeu um relatório sumário da investigação da Sitel apenas em 17 de março. O relatório não continha as capturas de tela que Lapsus$ postou online, mas mostrou que o invasor teve acesso ao ambiente sitel por um período de cinco dias, de 16 de janeiro a 21 de janeiro
Eric Parizo, analista da Omdia, diz que, embora o incidente de Okta possa não ser tão abrangente quanto se temia inicialmente, é outro lembrete de quão interconectada a cadeia de suprimentos de segurança cibernética se tornou.
“Por exemplo, como a Cloudflare usa o Okta para autenticação interna, a mera possibilidade de um compromisso fez com que a Cloudflare redefinisse a credencial de qualquer um de seus funcionários que mudaram suas senhas nos últimos quatro meses”, diz Parizo, apontando para um comentário do CEO da Cloudflare, Matthew Prince. Dezenas de outras organizações provavelmente fizeram o mesmo por uma abundância de cautela, observa. “Há certamente um custo para fazer isso tanto em termos de ações de TI e segurança, como potencialmente perdeu produtividade para os usuários.”
Microsoft confirma violação, emite aviso no Lapsus$
Junto com as capturas de tela okta, Lapsus$ também lançou simultaneamente outro conjunto de capturas de tela com a intenção de mostrar código-fonte que tinha acessado da Microsoft relacionado ao motor de busca Bing da empresa, assistente virtual Cortana e Bing Maps.
A Microsoft confirmou na terça-feira que o roubo do código fonte resultou de uma falha de segurança, mas não descreveu o que havia acontecido. “Nossa investigação descobriu que uma conta havia sido comprometida, concedendo acesso limitado”, disse um porta-voz da Microsoft em um comunicado enviado por e-mail. A equipe de resposta da empresa remediaram rapidamente a conta comprometida para evitar novas atividades maliciosas, disse a empresa. A Microsoft acrescentou que não contava com o sigilo do código como medida de segurança e afirmou que não considerava ver o código-fonte como vinculado à elevação do risco.
A equipe de inteligência de ameaças da Microsoft está atualmente rastreando Lapsus$ como DEV-0537, um equipamento que descreveu como um grupo de crimes cibernéticos descarado usando um “modelo de extorsão e destruição pura” para atingir organizações em vários setores, incluindo governo, saúde, telecomunicações, mídia e varejo. O grupo inicialmente tinha como alvo organizações na América Latina e no Reino Unido, mas agora começou a segmentar organizações globalmente.
A Microsoft disse que sua análise mostrou lapsus$ para usar uma combinação de truques para obter acesso inicial às redes alvo. Estes incluíam o uso do ladrão de senhas Redline para obter senhas, tokens de sessão de compra e credenciais de corretores de acesso inicial subterrâneos e , mais sinistro, pagar funcionários em empresas-alvo para acesso a credenciais e aprovação de autenticação multifatorial (MFA). O blog da Microsoft continha um anúncio que Lapsus$ postou em seu canal no Telegram que mostrava que o grupo está mirando funcionários de empresas de telecomunicações, grandes empresas de software, call centers e empresas de hospedagem de servidores. Entre as empresas especificamente mencionadas no anúncio estão Microsoft, Apple, AT&T, IBM e empresas de gerenciamento de processos de call center/business, como a Atento e a Teleperformance.
A Microsoft disse ter observado casos em que o grupo teve acesso a organizações-alvo recrutando seus funcionários ou funcionários que trabalham em empresas terceirizas ligadas ao alvo. Nesses casos, o cúmplice pago foi solicitado a fornecer sua credencial e aprovar solicitações de MFA, ou instalar softwares de gerenciamento remoto, como o AnyDesk, em um desktop corporativo.
Nos casos em que o Lapsus$ ganhou acesso privilegiado ao ambiente de nuvem de um alvo no AWS ou no Azure, o invasor criou contas de administração globais e recursos para enviar todos os e-mails dentro e fora da organização para uma conta controlada por invasores. Também foi observado a remoção de todas as outras contas de administração globais, adquirindo assim o controle exclusivo dos recursos em nuvem da organização comprometida. Uma vez que tenha dados exfiltrados, o Lapsus$ muitas vezes tem sido observado excluindo vMware, vSphere/ESX e outros sistemas e recursos nos ambientes de nuvem e instalações da organização-alvo, disse a Microsoft.
As táticas centradas na engenharia social e na identidade que a Lapsus$ está usando exigem processos de detecção e resposta que são como programas de risco interno, disse a Microsoft.
Mais difícil de prever
Pratik Savla, engenheiro sênior de segurança da Venafi, diz que a recente expansão de metas da Lapsus$em regiões e regiões pode ser uma tentativa deliberada de tornar mais difícil para os analistas prever quais organizações estão mais em risco. “Este provável movimento intencional para manter todos adivinhando, porque essas táticas têm servido bem os atacantes até agora.”
É surpreendente que grupos como o Lapsus$ possam desencadear esse nível de disrupção e caos com recursos relativamente limitados contra as maiores empresas de TI. “Mas, ao mesmo tempo”, diz Savla, “a complexidade de proteger as cadeias de suprimentos é um esforço significativo e ainda mais em casos de ambientes complexos e desarticulados”.
FONTE: DARK READING