El proveedor de servicios de autenticación Okta nombró el miércoles a Sitel como el tercero vinculado a un incidente de seguridad experimentado por la empresa a finales de enero que permitió a la banda de extorsión de LAPSUS$ hacerse cargo de forma remota de una cuenta interna perteneciente a un ingeniero de atención al cliente.
La compañía agregó que 366 clientes corporativos, o alrededor del 2,5% de su base de clientes, pueden haber sido afectados por el compromiso «altamente restringido».
«El 20 de enero de 2022, se alertó al equipo de seguridad de Okta de que se agregó un nuevo factor a la cuenta de Okta de un ingeniero de atención al cliente de Sitel [from a new location]»El director de seguridad de Okta, David Bradbury, dijo en una oracion. «Este factor era una contraseña».
La divulgación se produce después de que LAPSUS$ publicara capturas de pantalla de las aplicaciones y los sistemas de Okta a principios de esta semana, aproximadamente dos meses después de que los piratas informáticos obtuvieran acceso a la red interna de la empresa durante un período de cinco días entre el 16 y el 21 de enero de 2022 utilizando el protocolo de escritorio remoto (PDR) hasta que se detectó la actividad de MFA y la cuenta se suspendió a la espera de más investigación.
Aunque la empresa inicialmente intentó restar importancia al incidente, el grupo LAPSUS$ llamó a la empresa con sede en San Francisco por lo que alegaba que eran mentiras, afirmando que «TODAVÍA no estoy seguro de cómo es un [sic] intento fallido? Ingresado a [sic] el portal SuperUser con la capacidad de restablecer la contraseña y MFA de ~95% de los clientes no tiene éxito?»
Al contrario de su nombre, SuperUser, dijo Okta, se utiliza para realizar funciones de administración básicas asociadas con los inquilinos de sus clientes y opera con el principio de privilegio mínimo (PoLP) en mente, otorgando acceso al personal de apoyo solo a aquellos recursos que son pertinentes a sus funciones.
Okta, que enfrentó críticas por su demora en notificar a los clientes sobre el incidente, señaló que compartió indicadores de compromiso con Sitel el 21 de enero, que luego contrató los servicios de una firma forense no identificada que, a su vez, llevó a cabo la investigación. investigación y compartir sus hallazgos el 10 de marzo de 2022.
Según una cronología de eventos compartida por la empresa, «Okta recibió un informe resumido sobre el incidente de Sitel» la semana pasada, el 17 de marzo de 2022.
«Estoy muy decepcionado por el largo período de tiempo que transcurrió entre nuestra notificación a Sitel y la emisión del informe de investigación completo», dijo Bradbury. «Después de reflexionar, una vez que recibimos el informe resumido de Sitel, deberíamos habernos movido más rápido para comprender sus implicaciones».
«Si está confundido acerca de que Okta diga que ‘el servicio no ha sido violado’, recuerde que la declaración es puramente una sopa de palabras legal», la investigadora de seguridad Runa Sandvik dijo en Twitter. «El hecho es que se violó a un tercero; esa violación afectó a Okta; la falta de divulgación afectó a los clientes de Okta».
Las brechas de seguridad de Okta y Microsoft son las últimas de una serie de infiltraciones organizadas por el grupo LAPSUS$, que también ha afectado a víctimas de alto perfil como Impresa, NVIDIA, Samsung, Vodafone y Ubisoft. También es conocida por dar a conocer sus conquistas en un activo canal de Telegram que cuenta con más de 46.200 miembros.
La firma de seguridad cibernética Check Point describió a LAPSUS$ como un «grupo de piratas informáticos portugués de Brasil», y Microsoft mencionó su «combinación única de oficio» que implica atacar a sus víctimas con el intercambio de SIM, fallas de servidor sin parches, reconocimiento de la web oscura y phishing basado en teléfonos. táctica.
«Sin embargo, la verdadera motivación del grupo aún no está clara, incluso si afirma tener una motivación puramente financiera», dijo la compañía israelí. dijo. «LAPSUS$ tiene un fuerte compromiso con sus seguidores e incluso publica encuestas interactivas sobre quién debería ser su próximo objetivo desafortunado».
¿Un joven de 16 años detrás de LAPSUS$?
Pero en un giro interesante, Bloomberg reportado que «un joven de 16 años que vive en la casa de su madre cerca de Oxford, Inglaterra» podría ser el cerebro detrás de la operación, citando a cuatro investigadores que investigan al grupo. Se sospecha que otro miembro de LAPSUS$ es un adolescente que vive en Brasil.
Además, el presunto pirata informático adolescente, que se conoce con el alias en línea «White» y «breachbase», también puede haber tenido un papel en la intrusión en el fabricante de juegos Electronic Arts (EA) en julio pasado, según el experto en seguridad cibernética Brian Krebs. último informe que detalla las actividades de un miembro central de LAPSUS$ apodado «Oklaqq», también conocido como «WhiteDoxbin».
«En mayo de 2021, la identificación de Telegram de WhiteDoxbin se usó para crear una cuenta en un servicio basado en Telegram para lanzar ataques de denegación de servicio distribuido (DDoS), donde se presentaron como ‘@breachbase'», señaló Krebs. «La noticia del hackeo de EA del año pasado fue publicada por primera vez en la clandestinidad cibercriminal por el usuario ‘Breachbase’ en la comunidad de hackers en inglés RaidForums, que fue recientemente incautado por el FBI.»