Un peu plus d’une semaine après que JumpCloud ait réinitialisé les clés API des clients touchés par un incident de sécurité, la société a déclaré que l’intrusion était l’œuvre d’un acteur sophistiqué de l’État-nation.
L’adversaire « a obtenu un accès non autorisé à nos systèmes pour cibler un petit groupe spécifique de nos clients », Bob Phan, responsable de la sécurité de l’information (CISO) chez JumpCloud, a dit dans un rapport d’autopsie. « Le vecteur d’attaque utilisé par l’acteur de la menace a été atténué. »
La société américaine de logiciels d’entreprise a déclaré avoir identifié une activité anormale le 27 juin 2023 sur un système d’orchestration interne, qu’elle a retracée à une campagne de harponnage lancée par l’attaquant le 22 juin.
Alors que JumpCloud a déclaré avoir pris des mesures de sécurité pour protéger son réseau en faisant pivoter les informations d’identification et en reconstruisant ses systèmes, ce n’est que le 5 juillet qu’il a détecté une « activité inhabituelle » dans le cadre des commandes pour un petit ensemble de clients, provoquant une rotation forcée de toutes les clés API d’administration. Le nombre de clients concernés n’a pas été divulgué.
Une analyse plus approfondie de la violation, selon la divulgation de l’entreprise, a mis au jour le vecteur d’attaque, qu’elle a décrit comme une « injection de données dans le cadre des commandes ». Il a également déclaré que les attaques étaient très ciblées.
JumpCloud, cependant, n’a pas expliqué comment l’attaque de phishing qu’il a repérée en juin est liée à l’injection de données. Il n’est actuellement pas clair si les e-mails de phishing ont conduit au déploiement de logiciels malveillants qui ont facilité l’attaque.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
Indicateurs supplémentaires de compromission (IoC) associés à l’attaque montre que l’adversaire a exploité des domaines nommés nomadpkg[.]com et nomadpkgs[.]com, une référence probable au Orchestrateur de charge de travail basé sur Go utilisé pour déployer et gérer des conteneurs.
« Ce sont des adversaires sophistiqués et persistants avec des capacités avancées », a déclaré Phan. JumpCloud n’a pas encore révélé le nom et les origines du groupe présumé responsable de l’incident.