Ocak 2022’nin sonlarında Okta’da, yöneticilerinin sadece bir gün önce, üçüncü taraf bir destek mühendisinin hesabını tehlikeye atmak için başarısız bir girişim olarak nitelendirdiği bir güvenlik olayı, 366 müşterisini potansiyel olarak etkiledi, şirket şimdi itiraf etti.
Kimlik doğrulama sağlayıcısının baş güvenlik görevlisi David Bradbury Salı akşamı yaptığı açıklamada, Okta’nın yaptığı bir analizin, saldırganların potansiyel olarak bu müşterilere ait verileri görüntüleyebildiğini veya bunlara göre hareket edebildiğini gösterdiğini söyledi. Ancak Çarşamba sabahı takip eden bir konferans görüşmesinde Bradbury, etkilenen kuruluşların iyileştirme önlemleri almasına gerek olmadığını, çünkü üçüncü taraf mühendisin sistemlerine erişiminin “son derece kısıtlı” olduğunu yineledi.
Sağlanan kısıtlı erişim ve bu süre zarfında gerçekleştirilen aksiyonların kapsamlı analizi sonucunda, müşterilerimizin herhangi bir düzeltici önlem almasına gerek olmadığı kanaatindeyiz” dedi. dedi Bradbury. “Müşterilerimizin atması gereken bir adım olmasa da, kendi analizinizi tamamlamak isteyebileceğinizi umuyoruz.”
Pazartesi günü kendisine Lapsus$ adını veren bir çevrimiçi gasp grubu, Ocak ayında Okta’daki dahili sistemlerden ele geçirdiğini iddia ettiği Telegram kanalı aracılığıyla sekiz ekran görüntüsü yayınladı. Ekran görüntüleri, saldırganların Jira’daki Okta müşteri destek biletlerine, Slack’teki sohbet mesajlarına ve müşterileri yönetmek için “Süper kullanıcı” etiketli bir arka uç yönetici aracına erişmeyi başardığını gösteriyor.
Okta, dünyadaki en büyük kimlik doğrulama hizmetleri sağlayıcılarından biri olduğu için, ekran görüntülerinin yayınlanması sektörde önemli endişelere yol açtı. Dünyanın en büyük şirketlerinden bazıları ve birçok devlet kurumu dahil olmak üzere yaklaşık 15.000 kuruluş, uygulamalarına ve verilerine erişimi kontrol etmek için Okta’yı kullanıyor.
Özellikle sorun, Lapsus$’ın Okta’da bir “Süper kullanıcı” hesabına eriştiğini gösteren ekran görüntüsüdür – çoğu kişinin gruba Okta müşteri hesaplarını manipüle etme yeteneği vereceğini varsaydığı bir şey. Aslında bir ekran görüntüsü, saldırganların Okta müşterisi Cloudflare’nin ortamına erişmeyi başardığını gösteriyordu.
“Tanrı Gibi” Erişim Yok
Bradbury, Süper Kullanıcı hesabının tüm kullanıcılarına “tanrısal erişim” sağlamadığını ileri sürdü. “Bu, destek mühendislerinin yalnızca görevlerini yerine getirmeleri için ihtiyaç duydukları belirli erişime sahip olmalarını sağlamak için en az ayrıcalık göz önünde bulundurularak oluşturulmuş bir uygulamadır.” Bradbury, hesabın kullanıcılara kullanıcı oluşturma veya silme, müşteri veritabanlarını indirme veya kaynak kod havuzlarına erişme yeteneği vermediğini söyledi. Aynı şekilde, Okta’nın Jira ve Slack gibi dahili olarak kullandığı araçlara Lapsus$’ın erişiminin önemini de küçümsedi.
Bradbury’ye göre, Lapsus$’ın bu hafta çevrimiçi olarak yayınladığı Okta ekran görüntüleri, Okta’nın müşterilerine destek hizmetleri sağlayan Sitel’in bir yan kuruluşu olan Sykes için çalışan bir mühendise ait bir bilgisayardan alındı. Saldırgan, Okta’da oturum açmış durumdayken Uzak Masaüstü Protokolü (RDP) aracılığıyla cihaza erişim elde etti. Bradbury, “Yani, saldırgan hesap devralma yoluyla Okta hizmetine hiçbir zaman erişim sağlayamasa da, Okta’da oturum açmış bir makinenin güvenliği ihlal edildi ve ekran görüntüleri alıp makineyi RDP oturumu aracılığıyla kontrol edebildiler.” Dedi.
Okta olayı ilk olarak 20 Ocak’ta güvenlik ekibinin Sitel çalışanının Okta hesabına yeni bir konumdan eklenen yeni bir çok faktörlü kimlik doğrulama faktörü hakkında bir uyarı aldığında öğrendi. Uyarı, bir adli tıp soruşturmasını tetikledi ve bir gün sonra Okta’nın Sitel çalışanının Okta oturumunu sonlandırması ve kullanıcının hesabının askıya alınmasıyla sona erdi. Okta ayrıca verilerini Sitel ile paylaştı, sitel daha sonra olayı araştırmak için kendi üçüncü taraf firmasını tuttu. Bradbury, Okta’nın Sitel’den soruşturmanın özet raporunu yalnızca 17 Mart’ta aldığını söyledi. Rapor, Lapsus$’ın çevrimiçi olarak yayınladığı ekran görüntülerini içermediğini, ancak saldırganın 16 Ocak’tan itibaren beş günlük bir süre boyunca Sitel ortamına erişimi olduğunu gösterdiğini söyledi. 21 Ocak’a kadar
Omdia analisti Eric Parizo, Okta olayının başlangıçta korkulduğu kadar geniş kapsamlı olmasa da, siber güvenlik tedarik zincirinin nasıl birbirine bağlı hale geldiğinin bir başka hatırlatıcısı olduğunu söylüyor.
Parizo, “Örneğin, Cloudflare, dahili kimlik doğrulama için Okta’yı kullandığından, yalnızca bir uzlaşma olasılığı, Cloudflare’in son dört ay içinde parolalarını değiştiren herhangi bir çalışanının kimlik bilgilerini sıfırlamasına neden oldu.” Cloudflare CEO’su Matthew Prince. Düzinelerce başka kuruluş da büyük olasılıkla aynı şeyi çok dikkatli bir şekilde yaptı, diye belirtiyor. “Bunu yapmanın hem BT hem de güvenlik eylemleri açısından ve ayrıca kullanıcılar için potansiyel olarak üretkenlik kaybı açısından kesinlikle bir maliyeti var.”
Microsoft, İhlali Onayladı, Lapsus$’da Uyarı Verdi
Okta ekran görüntülerinin yanı sıra Lapsus$, şirketin Bing arama motoru, Cortana sanal asistanı ve Bing Haritaları ile ilgili olarak Microsoft’tan eriştiği kaynak kodunu gösterdiği iddia edilen başka bir ekran görüntüsü grubunu da aynı anda yayınladı.
Microsoft Salı günü geç saatlerde kaynak kodu hırsızlığının bir güvenlik ihlalinden kaynaklandığını doğruladı, ancak ne olduğunu açıklamadı. Bir Microsoft sözcüsü e-postayla gönderilen bir açıklamada, “Araştırmamız, bir hesabın ele geçirildiğini ve sınırlı erişim sağladığını tespit etti” dedi. Şirket, şirketin yanıt ekibinin, daha fazla kötü amaçlı etkinliği önlemek için güvenliği ihlal edilen hesabı hızla düzelttiğini söyledi. Microsoft, bir güvenlik önlemi olarak kodun gizliliğine güvenmediğini de ekledi ve kaynak kodu görüntülemeyi risk artışına bağlı olarak düşünmediğini iddia etti.
Microsoft’un tehdit istihbarat ekibi şu anda Lapsus$’ı devlet, sağlık, telekom, medya ve çeşitli sektörlerdeki kuruluşları hedef almak için “saf gasp ve imha modeli” kullanan küstah bir siber suç grubu olarak tanımladığı DEV-0537 olarak izliyor. perakende. Grup başlangıçta Latin Amerika ve Birleşik Krallık’taki kuruluşları hedef aldı, ancak şimdi küresel olarak kuruluşları hedeflemeye başladı.
Microsoft, analizinin Lapsus$’ın hedef ağlara ilk erişim sağlamak için bir dizi hile kullandığını gösterdiğini söyledi. Bunlar arasında şifreleri elde etmek için Redline şifre hırsızının kullanılması, yeraltı ilk erişim komisyoncularından oturum jetonları ve kimlik bilgileri satın alınması ve – en kötüsü – kimlik bilgilerine erişim ve çok faktörlü kimlik doğrulama (MFA) onayı için hedeflenen şirketlerdeki çalışanlara ödeme yapılması yer aldı. Microsoft’un blogu Lapsus$’ın Telegram kanalında yayınladığı ve grubun telekomünikasyon firmaları, büyük yazılım şirketleri, çağrı merkezleri ve sunucu barındırma şirketlerindeki çalışanları hedeflediğini gösteren bir reklam içeriyordu. Reklamda özellikle belirtilen şirketler arasında Microsoft, Apple, AT&T, IBM ve Atento ve Teleperformance gibi çağrı merkezi/iş süreci yönetimi firmaları yer alıyor.
Microsoft, grubun çalışanlarını veya hedefle bağlantılı üçüncü taraf firmalarda çalışan çalışanlarını işe alarak hedef kuruluşlara erişim elde ettiği örnekleri gözlemlediğini söyledi. Bu durumlarda, ücretli ortaktan kimlik bilgilerini sağlaması ve MFA isteklerini onaylaması ya da AnyDesk gibi bir uzaktan yönetim yazılımını kurumsal bir masaüstüne yüklemesi istendi.
Lapsus$’ın AWS veya Azure’daki bir hedefin bulut ortamına ayrıcalıklı erişim kazandığı durumlarda, saldırgan, kuruluş içindeki ve dışındaki tüm postaları saldırgan tarafından kontrol edilen bir hesaba göndermek için küresel yönetici hesapları ve yetenekleri oluşturmuştur. Ayrıca, diğer tüm küresel yönetici hesaplarının kaldırıldığı ve böylece güvenliği ihlal edilen kuruluşun bulut kaynaklarının tek kontrolünün ele geçirildiği gözlemlendi. Microsoft, verileri sızdırdıktan sonra, Lapsus$’ın hedef kuruluşun şirket içi ve bulut ortamlarındaki VMware, vSphere/ESX ve diğer sistemleri ve kaynakları sildiği sıklıkla gözlemlendiğini söyledi.
Microsoft, Lapsus$’ın kullandığı sosyal mühendislik ve kimlik merkezli taktiklerin, içeriden öğrenilen risk programlarına benzeyen algılama ve yanıt süreçleri gerektirdiğini söyledi.
Tahmin etmek daha zor
Venafi’de kıdemli güvenlik mühendisi olan Pratik Savla, Lapsus$’ın son zamanlarda dikey ve bölgelere yönelik hedeflerini genişletmesinin, analistlerin hangi kuruluşların en fazla risk altında olduğunu tahmin etmesini zorlaştırmaya yönelik kasıtlı bir girişim olabileceğini söylüyor. “Bu muhtemelen kasıtlı hareket, herkesin tahminde bulunmasını sağlamak için, çünkü bu taktikler şimdiye kadar saldırganlara iyi hizmet etti.”
Lapsus$ gibi grupların, en büyük BT şirketlerine karşı nispeten sınırlı kaynaklarla bu düzeyde bir aksama ve kaos ortaya çıkarabilmesi şaşırtıcıdır. “Ama aynı zamanda,” diyor Savla, “tedarik zincirlerini güvence altına almanın karmaşıklığı önemli bir çabadır ve hatta karmaşık ve ayrık ortamlarda bu daha da önemlidir.”