Bir fidye yazılımı grubunun bu hafta Microsoft’tan kaynak kodunu çaldığını ve – en azından bir noktada – kimlik doğrulama sağlayıcısı Okta’daki bir süper kullanıcı hesabının kontrolünü ele geçirdiğini iddia etmesi, güvenlik endüstrisinde yaygın endişelere yol açtı.
Bazıları olayı, şirketin CEO’su Todd McKinnon’ın Okta’da anlattı. Twitter üzerinden onaylandı Salı günü – dünyanın en büyük kuruluşlarından bazılarının sistemlerine ve verilerine erişimi doğrulamak için teknolojisini nasıl kullandıkları göz önüne alındığında özellikle endişe verici. Fidye yazılımı grubunun Pazartesi günü yayınladığı ekran görüntülerini analiz eden bir araştırmacı, saldırganların, diğer şeylerin yanı sıra, müşterileri yönetmek için bir Okta arka uç yönetim paneline erişmek için üçüncü taraf bir müşteri destek mühendisinin sistemini kullandığını belirttiklerini söyledi.
Ancak Okta’nın CSO’su David Bradbury Salı günü güncellenmiş bir açıklamada, olayı nispeten küçük olarak nitelendirdi ve Okta müşterilerinin olay nedeniyle herhangi bir düzeltici önlem almaları gerekmediğini söyledi. Okta’nın olayı araştırmak için tuttuğu bir servis sağlayıcının, saldırganların 16 ve 21 Ocak 2022 arasında beş günlük bir süre boyunca bir destek mühendisinin dizüstü bilgisayarına erişimi olduğunu bulduğunu söyledi. kullanıcı oluşturma veya silme veya müşteri veritabanlarını indirme gibi eylemler. Bradbury, destek mühendislerinin çok faktörlü kimlik doğrulama da dahil olmak üzere parolaların sıfırlanmasını kolaylaştırabileceğini ancak bu parolalara erişimlerinin olmadığını söyledi.
Özellikle endişe verici olan, Okta’nın görünüşe göre Ocak ayı sonlarında olayın farkında olması, ancak bu haftaya kadar açıklamaması – müşterileri için potansiyel olarak artan veri ihlali riskleri. Zaten, müşterilerinden birinin CEO’su Cloudflare, olayla ilgili haberleri takiben Okta’ya alternatifleri değerlendirdiğini ima etti. McKinnon’ın tweet’ine yanıt veren birkaç kişi, gecikmeli bildirimi ve şirketten olayla ilgili şu ana kadar ayrıntı eksikliğini sorguladı. “Bu, birçok insanın gergin olduğu ve onları rahatlatmak için mümkün olduğunca fazla bilgiye ihtiyaç duyduğu bir zamanda oldukça belirsiz bir yanıt.” bir Twitter kullanıcısı kaydetti.
Birkaç ay önce birdenbire ortaya çıkan bir fidye yazılımı çetesi olan Lapsus$, Pazartesi günü Telegram kanalında Microsoft ve Okta’daki sistemlere erişiminden elde ettiği belgeleri gösterdiği iddia edilen çok sayıda ekran görüntüsü yayınladı. Gösterdiği iddia edilen sekiz ekran görüntüsü Okta’nın dahili sistemlerinden alınan görüntülergörüntüleri analiz eden araştırmacılara göre.
Diğer görüntüler, saldırganların Microsoft’un Bing arama motoru, Bing Haritalar ve Cortana sanal asistanı ile ilgili en azından bazı kaynak kodlara erişmeyi başardığını gösterdi. Bazı raporlar, saldırganların 37 GB’lık Microsoft kaynak kodunu çaldığını öne sürdü, ancak bu doğrulanamadı. Rapor edilen izinsiz giriş ve veri hırsızlığıyla ilgili bir Karanlık Okuma sorgusuna yanıt olarak, bir Microsoft sözcüsü yalnızca şirketin iddialardan haberdar olduğunu ve şu anda bunları araştırdığını belirtti.
Süper Kullanıcı Erişimi
Okta görüntülerini inceleyen bağımsız güvenlik araştırmacısı Bill Demirkapı, gönderilerin saldırganların Sykes Enterprises, Inc. için çalışan üçüncü taraf bir destek personelinin makinesini ihlal ettiğini gösterdiğini söyledi. , özellikle 2. Aşama desteği olarak” diyor Demirkapı.
Bu destek personelinin sahip olduğu erişimi kullanarak Lapsus$, Slack’teki Okta sohbet mesajlarına, Jira’daki müşteri destek biletlerine ve müşterilere yardımcı olmak için “süper kullanıcı” adlı bir arka uç yönetim aracına erişebildi. Demirkapı, Lapsus$’ın Telegram kanalında yayınladığı mesajlarda, fidye yazılımı grubunun Okta’nın veritabanını değil, müşterilerini hedeflediğini açıkça belirttiğini söylüyor.
“Şu anda Okta müşterilerinden hangi verilerin çalındığı net değil” diye belirtiyor. “Süper kullanıcı” aracı, destek personeline Okta müşterilerini yönetme erişimi veriyor gibi görünüyor, ancak erişimin kapsamı bilinmiyor. Ekran görüntülerinden biri, saldırganların Okta müşterisi Cloudflare’nin ortamına erişim kazandığını ve çalışanların şifrelerini sıfırlama yeteneğine sahip olduğunu söylüyor.
“Okta müşterisiyseniz ve daha fazla bilgi istiyorsanız, incelemenizi tavsiye ederim. [Okta] Son 90 güne ait güvenlik kayıtları şüpheli etkinlik ve daha fazla ayrıntı için doğrudan Okta’ya ulaşıyor.”
Okta CEO’su McKinnon, Lapsus$’ın çevrimiçi olarak yayınladığı ekran görüntülerinin, saldırganların Okta’nın alt işlemcilerinden biri için çalışan üçüncü taraf bir müşteri destek mühendisinin hesabına erişim kazandığı Ocak 2022’nin sonlarında gerçekleşen bir olayla bağlantılı göründüğünü söyledi. McKinnon, konunun araştırıldığını ve kontrol altına alındığını iddia etti. “Bugüne kadarki araştırmamıza dayanarak, Ocak ayında tespit edilen faaliyetin ötesinde devam eden kötü niyetli faaliyet olduğuna dair bir kanıt yok” dedi.
Ancak Okta müşterisi Cloudflare’nin CEO’su Matthew Prince, şirketin son dört ayda şifresini değiştiren herhangi bir çalışanın Okta kimlik bilgilerini “çok dikkatli” bir şekilde sıfırladığını söyledi.
“Uzlaşma olmadığını teyit ettik” Prens dedi. “Okta bir güvenlik katmanıdır. Bir sorunları olabileceği düşünüldüğünde, bu katman için alternatifleri değerlendiriyoruz.”
Büyük Sorular Kaldı
Cycode’un CTO’su ve kurucu ortağı Ronen Slavin, Okta olayının öneminin Lapsus$’ın müşteri verilerine erişip erişemeyeceğine bağlı olduğunu söylüyor. “Okta, her müşterinin krallığın anahtarlarını yönettiğinden, Okta’nın İş Gücü Kimlik Çözümlerinden yararlanmak, bir saldırganın kendilerine Okta’nın müşterilerinin uygulamalarına yönetici düzeyinde erişim sağlamasına olanak tanır” diyor.
Slavin, önemli bir ikincil endişenin, fidye yazılımı grubunun Okta’nın yazılım geliştirme ortamına erişip erişmediği olduğunu söylüyor. “Ekran görüntülerinde Jira biletlerine erişimi görüyoruz ve Jira, yanal hareketi kolayca kolaylaştırabilecek çok hassas bilgiler içerebilir” diyor. En büyük sorun, Okta’nın Jira ortamının, Lapsus$’ın daha fazla zarar vermesini sağlayacak kimlik doğrulamayla ilgili sırlar içermesidir. “Eğer Lapsus$, Okta’nın kodunu kurcalayabilseydi, müşterileri sömürme potansiyeli önemli ölçüde artar” diyor.
Geçtiğimiz iki ay içinde Lapsus$, Nvidia, Samsung, Ubisoft ve Vodafone dahil olmak üzere diğer birçok şirketten eriştiğini iddia ettiği verileri yayınladı. Bu olaylardan herhangi birinin, tehdit grubunun Okta’nın ortamına erişimiyle kolaylaştırılıp kolaylaştırılmadığı veya bu kuruluşların ilk etapta Okta’nın müşterileri olup olmadığı hiç açık değil. Tehdit grubunun hedef ağlara erişim kazanma taktikleri, kimlik bilgilerini çalmayı ve çalışanlarına kuruluşlarının ağlarına erişim sağlamaları için ödeme yapmayı teklif etmeyi içeriyordu.
Slavin, Lapsus$’ın yayınladığı ekran görüntülerinin 21 Ocak tarihine kadar uzandığını göz önünde bulundurarak, grubun bulabildiği herhangi bir bilgi üzerinde harekete geçmek için zamanı olduğunu söylüyor. Ancak Okta, Heartbleed’e kadar giden güvenlik olaylarıyla ilgili güçlü bir şeffaflık geçmişine sahip, diye ekliyor. Slavin, “Okta, şu anda bildiklerine dayanarak şeffaf olduklarına inanmamız için güvenilirlik kazandı” diyor.
Bu arada, Lapsus$’ın çevrimiçi olarak yayınladığı Microsoft ile ilgili veriler, saldırganın kaynak kodunu yönetmek için Microsoft’un dahili Azure DevOps ortamına erişebildiğini gösteriyor, diyor Demirkapı. Demirkapı, “Şaşırtıcı bir şekilde, bu erişimle övündüklerinde Lapsus$, Microsoft’un sunucularından kaynak kodunu sızdırmanın ortasındaydı” diyor. “Bu, mesajlarının zaman damgası ile sızdırdıkları kaynak kodunun zaman damgası karşılaştırılarak doğrulandı.”
Fidye yazılımı grubunun yayınladığı kaynak kodu yalnızca Bing, Bing Haritalar ve Cortana içindi. Demirkapı, “O zaman bile, bu kaynak kodun yalnızca kısmi bir dökümü olması muhtemel çünkü Microsoft, mesajlarından kısa bir süre sonra erişimlerini kesti” diyor. “Lapsus$’ın müşteri verilerine erişimi olduğuna dair hiçbir kanıt yok.”
