Le fournisseur de services d’authentification Okta a désigné mercredi Sitel comme le tiers lié à un incident de sécurité rencontré par l’entreprise fin janvier qui a permis au gang d’extorsion de dollars LAPSUS de prendre le contrôle à distance d’un compte interne appartenant à un ingénieur du support client.
La société a ajouté que 366 entreprises clientes, soit environ 2,5% de sa clientèle, pourraient avoir été impactées par le compromis « fortement contraint ».
« Le 20 janvier 2022, l’équipe Okta Security a été alertée qu’un nouveau facteur avait été ajouté au compte Okta d’un ingénieur du support client de Sitel [from a new location] », le responsable de la sécurité d’Okta, David Bradbury, mentionné dans un rapport. « Ce facteur était un mot de passe. »
La divulgation intervient après que LAPSUS$ a publié des captures d’écran des applications et des systèmes d’Okta plus tôt cette semaine, environ deux mois après que les pirates ont eu accès au réseau interne de l’entreprise sur une période de cinq jours entre le 16 et le 21 janvier 2022 en utilisant le protocole de bureau à distance (RDP) jusqu’à ce que l’activité MFA soit détectée et que le compte soit suspendu dans l’attente d’une enquête plus approfondie.
Bien que la société ait initialement tenté de minimiser l’incident, le groupe LAPSUS $ a appelé la société basée à San Francisco pour ce qu’elle prétendait être des mensonges, déclarant « Je ne sais toujours pas comment c’est un [sic] tentative infructueuse ? Connecté à [sic] le portail SuperUser avec la possibilité de réinitialiser le mot de passe et le MFA d’environ 95 % des clients ne fonctionne pas ? »
Contrairement à son nom, SuperUser, a déclaré Okta, est utilisé pour effectuer des fonctions de gestion de base associées à ses clients locataires et fonctionne selon le principe du moindre privilège (PoLP) à l’esprit, accordant au personnel d’assistance l’accès aux seules ressources qui sont pertinentes pour leurs rôles.
Okta, qui a fait l’objet de critiques pour son retard à informer les clients de l’incident, a noté qu’il avait partagé des indicateurs de compromis avec Sitel le 21 janvier, qui a ensuite engagé les services d’une société médico-légale anonyme qui, à son tour, a continué à effectuer le enquête et partager ses conclusions le 10 mars 2022.
Selon une chronologie des événements partagée par la société, « Okta a reçu un rapport de synthèse sur l’incident de Sitel » la semaine dernière, le 17 mars 2022.
« Je suis très déçu par la longue période qui s’est écoulée entre notre notification à Sitel et la publication du rapport d’enquête complet », a déclaré Bradbury. « Après réflexion, une fois que nous avons reçu le rapport de synthèse de Sitel, nous aurions dû agir plus rapidement pour comprendre ses implications. »
« Si vous êtes confus à propos d’Okta disant que » le service n’a pas été violé « , rappelez-vous que la déclaration est purement une soupe de mots juridiques », a déclaré Runa Sandvik, chercheuse en sécurité. mentionné sur Twitter. « Le fait est qu’un tiers a été violé ; cette violation a affecté Okta ; le fait de ne pas le divulguer a affecté les clients d’Okta. »
Les failles de sécurité d’Okta et de Microsoft sont les dernières d’une série d’infiltrations organisées par le groupe LAPSUS$, qui a également touché des victimes de premier plan comme Impresa, NVIDIA, Samsung, Vodafone et Ubisoft. Il est également connu pour faire connaître ses conquêtes sur une chaîne Telegram active qui compte plus de 46 200 membres.
La société de cybersécurité Check Point a décrit LAPSUS$ comme un « groupe de piratage portugais du Brésil », Microsoft appelant son « mélange unique d’artisanat » qui consiste à cibler ses victimes avec l’échange de cartes SIM, des failles de serveur non corrigées, la reconnaissance du dark web et le phishing par téléphone. tactique.
« La véritable motivation du groupe n’est cependant pas encore claire, même s’il prétend être purement financier », a déclaré l’entreprise israélienne. mentionné. « LAPSUS$ a un fort engagement avec ses followers, et publie même des sondages interactifs sur qui devrait être leur prochaine cible malheureuse. »
Un jeune de 16 ans derrière LAPSUS$ ?
Mais dans une tournure intéressante, Bloomberg signalé qu' »un jeune de 16 ans vivant chez sa mère près d’Oxford, en Angleterre » pourrait être le cerveau derrière l’opération, citant quatre chercheurs enquêtant sur le groupe. Un autre membre de LAPSUS$ est soupçonné d’être un adolescent vivant au Brésil.
De plus, le pirate informatique adolescent présumé, qui s’appelle « White » et « breachbase », pourrait également avoir joué un rôle dans l’intrusion chez le fabricant de jeux Electronic Arts (EA) en juillet dernier, selon l’expert en cybersécurité Brian Krebs. dernier rapport détaillant les activités d’un membre principal de LAPSUS$ surnommé « Oklaqq » alias « WhiteDoxbin ».
« En mai 2021, l’identifiant Telegram de WhiteDoxbin a été utilisé pour créer un compte sur un service basé sur Telegram pour lancer des attaques par déni de service distribué (DDoS), où ils se sont présentés comme » @breachbase « », a noté Krebs. « La nouvelle du piratage d’EA l’année dernière a été publiée pour la première fois dans la clandestinité cybercriminelle par l’utilisateur ‘Breachbase’ sur la communauté de hackers de langue anglaise RaidForums, qui était récemment saisi par le FBI. »