Microsoft dan Okta sedang menyelidiki klaim oleh kelompok pemerasan data baru yang dewasa sebelum waktunya, Lapsus$ bahwa geng tersebut telah melanggar sistem mereka.
Lapsus$ mengklaim telah mendapatkan akses "pengguna super/admin" ke sistem internal di perusahaan otentikasi Okta. Itu juga memposting file senilai 40GB ke saluran Telegramnya, termasuk tangkapan layar dan kode sumber, dari apa yang dikatakan grup itu sebagai proyek dan sistem internal Microsoft. bahwa beberapa pelanggan mungkin telah terpengaruh. Cakupan pelanggaran belum jelas, tetapi bisa jadi sangat besar: Menurut Okta, ia memiliki ratusan juta pengguna yang menggunakan platformnya untuk menyediakan akses ke jaringan, termasuk karyawan di ribuan perusahaan besar seperti Fedex, Moody's , T-Mobile, Hewlett Packard Enterprise dan GrubHub, untuk beberapa nama.
Tangkapan Layar 'Sangat Mengkhawatirkan'
Tangkapan layar Okta yang dimaksudkan termasuk satu yang muncul untuk menunjukkan saluran Slack Okta dan lainnya dengan antarmuka Cloudflare. Dalam pesan yang menyertainya, grup tersebut mengatakan bahwa fokusnya adalah "HANYA pada pelanggan Okta."
Bill Demirkapi, pakar keamanan di Zoom, mentweet bahwa tangkapan layar "sangat mengkhawatirkan. … LAPSUS$ tampaknya telah mendapatkan akses ke penyewa @Cloudflare dengan kemampuan untuk mengatur ulang kata sandi karyawan.”
Cloudflare mengumumkan pada hari Selasa bahwa mereka tidak mempertaruhkan kredensial Okta karyawannya. Perusahaan, yang menggunakan Okta untuk otentikasi karyawan, sedang mengatur ulang kredensial karyawannya, Co-founder dan CEO Matthew Prince mengatakan di Twitter, "karena sangat berhati-hati."
Kami mengatur ulang kredensial @Okta dari setiap karyawan yang telah berubah kata sandi mereka dalam 4 bulan terakhir, karena sangat berhati-hati. Kami telah mengkonfirmasi tidak ada kompromi. Okta adalah salah satu lapisan keamanan. Mengingat mereka mungkin memiliki masalah, kami sedang mengevaluasi alternatif untuk lapisan itu.
— Matthew Prince (@eastdakota) 22 Maret 2022
Breach Tanggal hingga January
Demirkapi mencatat hal menakutkan lainnya tentang tangkapan layar: Yaitu, mereka menunjukkan tanggal 21 Januari, 2022. Jika tanggalnya benar, itu menunjukkan bahwa Okta “gagal secara publik mengakui pelanggaran apa pun selama setidaknya dua bulan,” katanya.
https://twitter.com/BillDemirkapi/status/1506109956298317830
Ya, tanggal tersebut bisa berarti bahwa Lapsus$ telah memiliki akses ke Okta selama berbulan-bulan, tetapi sekali lagi, mereka malah dapat menunjukkan bahwa Lapsus$ menikmati permainan singkat sebelum dikeluarkan. Yang terakhir adalah kasusnya, CEO Okta Todd McKinnon.
Pada hari Selasa, CEO tweeted bahwa pada Januari 2022, Okta mendeteksi upaya kompromi dari "insinyur dukungan pelanggan pihak ketiga yang bekerja untuk salah satu subprosesor kami" tetapi "masalahnya diselidiki dan ditampung oleh subprosesor.”
Okta yakin bahwa tangkapan layar yang dibagikan Lapsus$ secara online terkait dengan insiden Januari. “Berdasarkan penyelidikan kami hingga saat ini, tidak ada bukti aktivitas jahat yang sedang berlangsung di luar aktivitas yang terdeteksi pada Januari,” kata McKinnon. Kami yakin tangkapan layar yang dibagikan secara online terhubung dengan peristiwa Januari ini. Berdasarkan penyelidikan kami hingga saat ini, tidak ada bukti aktivitas jahat yang sedang berlangsung di luar aktivitas yang terdeteksi pada bulan Januari. (2 dari 2)
— Todd McKinnon (@toddmckinnon) 22 Maret 2022
Apakah Karyawan Rogue Pitch In?
Jika tanggalnya akurat, itu berarti Lapsus$ mungkin berhasil ketika memasang pemberitahuan "dicari bantuan" di Saluran Telegram pada 10 Maret. Grup memposting bahwa mereka merekrut orang dalam perusahaan – termasuk yang ada di Microsoft; perusahaan perangkat lunak/permainan besar lainnya seperti Apple, IBM atau EA; telekomunikasi seperti Telefonica, ATT; dan banyak lagi – untuk membantunya melakukan pekerjaan kotornya.
Dari pos Telegram 10 Maret:
“Kami merekrut karyawan/orang dalam sebagai berikut!!!! … UNTUK DIPERHATIKAN: KAMI TIDAK MENCARI DATA, KAMI MENCARI KARYAWAN UNTUK MEMBERIKAN KAMI VPN ATAU CITRIX KE JARINGAN, atau meja mana pun” – referensi ke teknologi yang dapat digunakan penjahat dunia maya untuk menembus jaringan target dengan bantuan orang dalam .
Data di Bing, Bing Maps, Cortana Diduga Dicuri
Pada hari Senin, Lapsus$ mulai mengedarkan arsip terkompresi 10GB yang konon berisi data internal di mesin pencari Bing Microsoft dan Bing Maps, bersama dengan kode sumber ke perangkat lunak asisten suara perusahaan Cortana.
The data bocor tertanggal 20 Maret 2022.
“Peta Bing adalah 90% dump lengkap. Bing dan Cortana sekitar 45%,” tulis Lapsus$ di saluran Telegramnya.
Microsoft mengakui klaim tersebut dan mengatakan bahwa pihaknya sedang menyelidiki.
Lapsus$ Mencibir pada Klaim Okta
Pada hari Selasa, Chief Security Officer Okta Davis Bradbury membuat sejumlah klaim Dalam pernyataan terbaru bahwa , dalam beberapa jam, Lapsus$ ditutup. Demirkapi tweeted slap-back:
Grup ransomware LAPSUS$ telah mengeluarkan tanggapan berikut atas pernyataan Okta. pic.twitter.com/D6KYQjnKPu
— Bill Demirkapi (@BillDemirkapi) 22 Maret 2022
Di antara hal-hal lain, Lapsus$ mencemooh deskripsi Bradbury tentang kelompok yang telah melanggar laptop seorang insinyur dalam upaya Januari (itu adalah klien tipis, kata geng). Geng juga menertawakan klaim Bradbury bahwa upaya Januari untuk mengakses akun insinyur tidak berhasil ("Saya MASIH tidak yakin bagaimana upayanya yang gagal? Masuk ke portal pengguna super dengan kemampuan untuk mengatur ulang Kata Sandi dan MFA ~95% klien tidak berhasil?”).
Lapsus$ juga mengatakan bahwa “potensi dampak bagi pelanggan Okta TIDAK terbatas. Saya cukup yakin bahwa menyetel ulang kata sandi dan MFA akan mengakibatkan kompromi total pada banyak sistem klien.”
Okta belum menanggapi permintaan Threatpost untuk mengomentari klaim Lapsus$ pada saat artikel ini diposting.
Banyak Takik di Lapsus$' Belt
The Grup Lapsus$ telah melakukan banyak serangan tingkat tinggi. Pada bulan Desember, ia menyerang Kementerian Kesehatan Brasil, melumpuhkan beberapa entitas online, berhasil menghapus informasi tentang data vaksinasi COVID-19 warga serta mengganggu sistem yang mengeluarkan sertifikat vaksinasi digital.
Baru-baru ini, Lapsus$ melumpuhkan media Portugis Impresa raksasa; menyerang Nvidia, kabur dengan sertifikat penandatanganan kode kemudian digunakan untuk menandatangani malware dan dengan demikian memungkinkan program jahat untuk melewati perlindungan keamanan pada mesin Windows; merilis sejumlah besar kode sumber berpemilik yang dicuri dari Samsung; dan menyerang pengembang video game Assassin's Creed Ubisoft.
Pada hari Senin, kelompok tersebut juga mengklaim telah melanggar raksasa elektronik LGE, menurut Security Week.
Lapsus$ Adalah 'Wild Card'
Drew Schmitt, pakar ransomware Lapsus$ dan analis intelijen ancaman utama di firma keamanan siber GuidePoint Security, telah berinteraksi langsung dengan grup tersebut selama bertahun-tahun dalam negosiasi ransomware dan pekerjaan intelijen ancaman.
Dia mengatakan kepada Threatpost pada hari Selasa bahwa grup tersebut adalah "kartu liar" karena "mereka tidak melakukan enkripsi file atau data untuk pemerasan tujuan, melainkan mereka menargetkan dan mengekstrak data sensitif dan menggunakannya untuk upaya pemerasan utama.”
Itu membedakan Lapsus$ dari pendekatan ransomware tradisional yang digunakan oleh kelompok-kelompok seperti Conti, Lockbit, dan lainnya, katanya. Penyimpangan lain dari kelompok ransomware tradisional adalah penggunaan Telegram untuk tujuan komunikasi dan pemerasan versus penggunaan situs kebocoran yang dihosting menggunakan layanan TOR, katanya. Selain itu, akses awal mereka ke organisasi yang ditargetkan tidak ortodoks, katanya, mengacu pada pesan perekrutan 11 Maret untuk orang dalam yang nakal.
Lapsus$ tampaknya beroperasi sendiri, tanpa ikatan dengan sindikat kejahatan dunia maya/ransomware lain atau sponsor negara-bangsa, kata Schmitt . Itu bisa berubah, meskipun, saat analisis berlanjut, dia berkata: “Karena grup ini telah mendapatkan banyak ketenaran dalam beberapa minggu terakhir, ada kemungkinan bahwa kita akan mempelajari kecerdasan baru yang menunjukkan koneksi ke grup dan sindikat lain yang dikenal.”
Schitt mengatakan bahwa Lapsus$ mengubah permainan ransomware dengan pendekatan non-tradisionalnya terhadap akses awal, perpindahannya dari enkripsi file, dan penyimpangannya dari infrastruktur situs kebocoran tradisional. Ini adalah perubahan yang dapat diadopsi oleh kelompok ransomware yang lebih tradisional, prediksinya.
Bukan Hanya Anak Baru di Blok
Langkah grup Lapsus$ di Okta memperjelas bahwa orang-orang ini lebih dari sekadar anak baru di blok tersebut, menurut keamanan ahli.
Dave Stapleton, mantan analis keamanan pemerintah dan CISO saat ini dari perusahaan manajemen risiko pihak ketiga CyberGRX, berpikir bahwa Lapsus$ ingin meningkatkan ketenarannya – lebih baik untuk merekrut orang dalam yang bersedia menjual akses jarak jauh ke perusahaan teknologi besar. Namun serangan rantai pasokan lain yang luas juga bisa terjadi di situsnya, katanya kepada Threatpost pada hari Selasa.
“Meskipun detailnya langka saat ini, jelas bahwa aktor ancaman ini bekerja keras untuk membuat nama untuk diri mereka sendiri,” kata Stapleton melalui email. “Terus meningkatkan ketenaran dan kedudukan mereka akan mendukung perekrutan orang dalam mereka yang bersedia menjual akses jarak jauh ke perusahaan teknologi besar dan ISP. Dengan langkah terbaru melawan Okta ini, grup Lapsus$ pada dasarnya mengiklankan kepada calon rekrutan bagaimana mereka beroperasi.”
Mengingat bahwa Okta adalah “penyedia identitas penting untuk organisasi di seluruh dunia,” Stapleton mengkhawatirkan yang lain dalam rangkaian serangan rantai pasokan yang telah melanda orang-orang seperti Toyota, dkk. “Saya yakin pelanggan [Okta] akan memperhatikan dengan seksama. Ancaman serangan rantai pasokan lain yang meluas tentu menjadi perhatian saya,” katanya.
Kevin Novak, direktur pelaksana Breakwater Solutions, menduga bahwa cakupan pelanggaran backend Okta kemungkinan terbatas. Jika tidak, mengingat basis pelanggan Okta yang sangat besar, kami mungkin sudah mengetahuinya sekarang. “Sementara beberapa telah membuat dugaan tentang apakah peretasan ini berkontribusi pada pelanggaran lain di sini atau di sana, tampaknya kompromi penuh dari backend Okta akan menjadi jauh lebih jelas sekarang, tetapi kita akan melihat lebih banyak selama beberapa bulan ke depan,” katanya.
“Jika … kompromi melibatkan serangan yang berhasil pada informasi klien, seperti kredensial klien, materi utama, atau kode sumber yang berkaitan dengan lingkungan yang dapat menyebabkan kompromi klien, maka Okta mungkin mengalami pengawasan yang jauh lebih besar dari lapangan untuk kurangnya pemberitahuan yang memadai dan tepat waktu tentang peristiwa tersebut,” catat Novak.
Apa yang Harus Dilakukan Sekarang
Pelanggaran Okta masih berkembang. Namun, ada beberapa langkah yang dapat diambil organisasi sekarang untuk mengamankan karyawan dan jaringan mereka. Jon Hencinski, direktur operasi global di Expel, mengatakan kepada Threatpost bahwa tindakan pencegahan yang harus segera diambil termasuk merotasi kata sandi Okta yang diistimewakan dan token yang dihasilkan Okta serta meninjau autentikasi dan aktivitas admin Okta selama empat bulan terakhir.
Dia memberikan tip lain berikut:
- Tinjau perubahan konfigurasi untuk memastikan mereka selaras dengan aktivitas dan sumber yang diharapkan.Tinjau autentikasi admin dan pastikan mereka berasal dari sumber yang diharapkan berdasarkan pengguna sumber.Identifikasi akun Okta mana pun yang MFA dinonaktifkan selama periode waktu yang sama dan tentukan pengguna dan akar penyebab penonaktifan tersebut, lalu aktifkan kembali MFA untuk akun tersebut.Sepanjang proses ini, komunikasikan secara transparan apa yang Anda lakukan dan lakukan dengan pemangku kepentingan internal dan eksternal Anda.Ini juga merupakan kesempatan untuk menguji stres rencana respons insiden (IRP). Dan jika Anda tidak memiliki IRP — buat, lalu uji dan uji lagi.
“Keberuntungan berpihak pada yang siap,” kata Hencinski.
Pindah ke cloud? Temukan ancaman keamanan cloud yang muncul bersama dengan saran yang kuat tentang cara mempertahankan aset Anda dengan eBook GRATIS kami yang dapat diunduh, “Cloud Security: The Forecast for 2022.” Kami mengeksplorasi risiko dan tantangan utama organisasi, praktik terbaik untuk pertahanan, dan saran untuk keamanan sukses dalam lingkungan komputasi yang dinamis, termasuk daftar periksa yang praktis.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web
