TechCrunch tarafından görülen ve siber saldırının henüz ortaya çıkmamış yeni ayrıntılarını sağlayan belgelere göre, Lapsus$ bilgisayar korsanları, kimlik doğrulama devi Okta’nın dahili sistemlerine erişmeden günler önce, Ocak ayında müşteri hizmetleri devi Sitel’in ağına girmek için güvenliği ihlal edilmiş kimlik bilgilerini kullandılar. bildirildi.
Müşteriler, Okta’nın Ocak güvenlik ihlalini 22 Mart’ta, Lapsus$ hack grubu, Okta’nın dahili uygulamalarına ve sistemlerine yaklaşık iki ay önce eriştiğini gösteren ekran görüntülerini yayınladıktan sonra öğrendi. Okta uzlaşmayı kabul etti bir blog yazısıve daha sonra kurumsal müşterilerinin 366’sının ihlalden veya müşteri tabanının yaklaşık %2,5’inden etkilendiğini doğruladı.
Belgeler, bilgisayar korsanlarının daha sonra Okta’nın ağına erişmesine izin veren Sitel uzlaşmasının bugüne kadarki en ayrıntılı hesabını sunuyor.
Okta, dünya çapında binlerce kuruluş ve hükümet tarafından tek oturum açma sağlayıcısı olarak kullanılır ve çalışanların e-posta hesapları, uygulamalar, veritabanları ve daha fazlası gibi bir şirketin dahili sistemlerine güvenli bir şekilde erişmesine olanak tanır.
Bağımsız güvenlik araştırmacısı tarafından elde edilen belgeler Bill Demirkapı ve TechCrunch ile paylaşılanlar arasında, 25 Ocak’ta – bilgisayar korsanlarının ağını ilk kez ele geçirmesinden bir haftadan fazla bir süre sonra – gönderilen bir Sitel müşteri iletişimini ve 17 Mart tarihli olay müdahale firması Mandiant tarafından derlenen ve Okta ile paylaşılan Sitel saldırısının ayrıntılı bir zaman çizelgesi yer alıyor.
Belgelere göre Sitel, Okta için çalışan ve 2021’de satın aldığı müşteri hizmetleri şirketi Sykes’a ait eski bir ağdaki VPN ağ geçitlerinde güvenlik olayını keşfettiğini söyledi. VPN’ler veya sanal özel ağlar genellikle saldırganların hedefi oluyor. çünkü bir şirketin ağına uzaktan erişmek için kullanılabilirler.
Zaman çizelgesi, saldırganların, Lapsus$’ın erişime sahip olduğu beş gün boyunca ağa daha derin bir görünürlük kazandırarak, Sitel’in ağından ödün vermek ve ağda gezinmek için uzaktan erişim hizmetlerini ve herkesin erişebileceği hack araçlarını nasıl kullandıklarını detaylandırıyor. Sitel, Azure bulut altyapısının da bilgisayar korsanları tarafından ele geçirildiğini söyledi.
Zaman çizelgesine göre, bilgisayar korsanları 21 Ocak’ta Sitel’in dahili ağındaki “DomAdmins-LastPass.xlsx” adlı bir elektronik tabloya erişti. Dosya adı, elektronik tablonun, bir Sitel çalışanının LastPass parola yöneticisinden dışa aktarılan etki alanı yöneticisi hesapları için parolalar içerdiğini gösteriyor.
Yaklaşık beş saat sonra, bilgisayar korsanları yeni bir Sykes kullanıcı hesabı oluşturdu ve hesabı, kuruluşa geniş erişime sahip olan “kiracı yöneticiler” adlı bir kullanıcı grubuna ekledi ve Sitel’in ağına bilgisayar korsanlarının erişebileceği bir “arka kapı” hesabı oluşturması muhtemel. daha sonra keşfedilip kilitlendiyse kullanın. Lapsus$ bilgisayar korsanları, Okta’nın ağını aşağı yukarı aynı zamanlarda tehlikeye atıyorlardı. Okta’nın zaman çizelgesi olayların.
Zaman çizelgesi, bilgisayar korsanlarının Sitel’in ağına en son 21 Ocak’ta saat 14:00’te (UTC), şifrelerin elektronik tablosuna eriştikten yaklaşık 14 saat sonra eriştiklerini gösteriyor. Sitel, saldırganları engellemeye çalışmak için şirket çapında bir parola sıfırlama yayınladı.
Okta, Mandiant’ın 17 Mart tarihli raporunu almasının ardından Sitel ihlali konusunda müşterileri daha erken uyarmadığı için eleştirilerle karşı karşıya kaldı. Okta güvenlik şefi David Bradbury, şirketin “bunun sonuçlarını anlamak için daha hızlı hareket etmesi gerektiğini” söyledi.
Okta, yayınlanmadan önce ulaşıldığında yorum yapamadı. Sitel ve Mandiant, haberlerin içeriğine itiraz etmedi ancak yorum yapmaktan kaçındı.
Okta, son aylarda Lapsus$ hacking ve gasp grubu tarafından hedef alınan birkaç büyük şirketten sadece biri. Lapsus$ grubu ilk olarak Aralık ayında, vatandaşların aşı bilgileri de dahil olmak üzere 50 terabaytlık veriyi çalan bir siber saldırıda Brezilya Sağlık Bakanlığı’nı hedef aldıktan sonra bilgisayar korsanlığı sahnesinde ortaya çıktı. O zamandan beri çete hedef aldı birkaç Portekizce dil şirketi, Samsung, Nvidia, Microsoft ve Okta gibi Büyük Teknoloji devlerinin yanı sıra, Telegram kanalının on binlerce abonesine erişim ve çalıntı verilerinin tanıtımını yaparken, genellikle kurbanlarının çalınan dosyalarını yayınlamama karşılığında olağandışı taleplerde bulunurken,
İngiltere polisi geçen hafta olaylarla bağlantılı, yaşları 16 ile 21 arasında olan yedi kişiyi tutukladığını söyledi.
Okta veya Sitel’deki ihlal veya çalışma hakkında daha fazla bilginiz varsa, +1 646-755-8849 numaralı telefondan veya [email protected] adresinden Signal’deki güvenlik masasıyla e-posta yoluyla iletişime geçin.