Uber beschuldigt die LAPSUS$-Hacking-Gruppe für den jüngsten Sicherheitsverstoß

Uber beschuldigt die LAPSUS$-Hacking-Gruppe für den jüngsten Sicherheitsverstoß

Spread the love

Uber gab am Montag weitere Details zu dem Sicherheitsvorfall bekannt, der sich letzte Woche ereignet hatte, und heftete den Angriff auf einen Bedrohungsakteur, von dem es glaubt, dass er mit der berüchtigten LAPSUS$-Hacking-Gruppe verbunden ist.

„Diese Gruppe verwendet normalerweise ähnliche Techniken, um Technologieunternehmen anzugreifen, und hat allein im Jahr 2022 unter anderem Microsoft, Cisco, Samsung, NVIDIA und Okta verletzt“, sagte das in San Francisco ansässige Unternehmen in einem Update.

Der finanziell motivierten Erpresserbande wurde im März 2022 ein schwerer Schlag versetzt, als die Polizei der City of London sieben mutmaßliche Mitglieder der LAPSUS$-Bande im Alter zwischen 16 und 21 Jahren festnahm. Wochen später wurden zwei von ihnen wegen ihrer Taten angeklagt.

Der Hacker hinter der Verletzung von Uber, ein 18-jähriger Teenager, der unter dem Spitznamen Tea Pot bekannt ist, hat auch die Verantwortung für den Einbruch in den Videospielehersteller Rockstar Games am Wochenende übernommen.

Internet-Sicherheit

Uber sagte, es arbeite mit „mehreren führenden Unternehmen für digitale Forensik“ zusammen, während das Unternehmen die Untersuchung des Vorfalls fortsetzt, und koordiniere die Angelegenheit mit dem US Federal Bureau of Investigation (FBI) und dem Justizministerium.

Was den Verlauf des Angriffs betrifft, sagte die Mitfahrfirma, ein „EXT-Auftragnehmer“ habe ihr persönliches Gerät mit Malware kompromittiert und ihre Firmenkonto-Anmeldeinformationen gestohlen und im Dark Web verkauft, was einen früheren Bericht von Group-IB bestätigt.

Das Unternehmen mit Hauptsitz in Singapur stellte in der vergangenen Woche fest, dass mindestens zwei von Ubers Mitarbeitern in Brasilien und Indonesien mit Raccoon- und Vidar-Informationsstehlern infiziert waren.

„Der Angreifer hat dann wiederholt versucht, sich in das Uber-Konto des Auftragnehmers einzuloggen“, teilte das Unternehmen mit. „Jedes Mal erhielt der Auftragnehmer eine Zwei-Faktor-Login-Genehmigungsanfrage, die den Zugriff zunächst blockierte. Schließlich akzeptierte der Auftragnehmer jedoch eine und der Angreifer loggte sich erfolgreich ein.“

Nachdem der Schurke Fuß gefasst hatte, soll er auf andere Mitarbeiterkonten zugegriffen haben, wodurch die böswillige Partei mit erhöhten Berechtigungen für „mehrere interne Systeme“ wie Google Workspace und Slack ausgestattet wurde.

Das Unternehmen sagte weiter, es habe im Rahmen seiner Maßnahmen zur Reaktion auf Vorfälle eine Reihe von Schritten unternommen, darunter das Deaktivieren betroffener Tools, das Rotieren von Schlüsseln für die Dienste, das Sperren der Codebasis und das Sperren kompromittierter Mitarbeiterkonten für den Zugriff auf Uber-Systeme oder alternativ das Zurücksetzen eines Passworts für diese Konten.

Uber gab nicht bekannt, wie viele Mitarbeiterkonten möglicherweise kompromittiert wurden, wiederholte jedoch, dass keine unbefugten Codeänderungen vorgenommen wurden und dass es keine Beweise dafür gab, dass der Hacker Zugriff auf Produktionssysteme hatte, die seine kundenorientierten Apps unterstützen.

Der mutmaßliche jugendliche Hacker soll jedoch eine nicht näher bezeichnete Anzahl interner Slack-Nachrichten und -Informationen von einem internen Tool heruntergeladen haben, das von seinem Finanzteam zur Verwaltung bestimmter Rechnungen verwendet wird.

Uber bestätigte auch, dass der Angreifer auf HackerOne-Fehlerberichte zugegriffen habe, stellte jedoch fest, dass „alle Fehlerberichte, auf die der Angreifer zugreifen konnte, behoben wurden“.

„Es gibt nur eine Lösung, um Push-basiert zu machen [multi-factor authentication] widerstandsfähiger zu machen, und das heißt, Ihre Mitarbeiter, die Push-basierte MFA verwenden, über die gängigen Arten von Angriffen dagegen zu schulen, wie man diese Angriffe erkennt und wie man sie mindert und meldet, wenn sie auftreten”, Roger Grimes, datengesteuert Verteidigungsevangelist bei KnowBe4, sagte in einer Erklärung.

Chris Clements, Vizepräsident für Lösungsarchitektur bei Cerberus Sentinel, sagte, dass es für Unternehmen von entscheidender Bedeutung ist, zu erkennen, dass MFA keine „Wunderwaffe“ ist und dass nicht alle Faktoren gleich sind.

Internet-Sicherheit

Während es eine Verlagerung von der SMS-basierten Authentifizierung zu einem App-basierten Ansatz gegeben hat, um die Risiken im Zusammenhang mit SIM-Swapping-Angriffen zu mindern, zeigt der Angriff auf Uber und Cisco, dass Sicherheitskontrollen, die einst als unfehlbar galten, auf andere Weise umgangen werden.

Die Tatsache, dass Bedrohungsakteure auf Angriffspfade wie Adversary-in-the-Middle (AiTM)-Proxy-Toolkits und MFA-Müdigkeit (auch bekannt als Prompt Bombing) setzen, um einen ahnungslosen Mitarbeiter dazu zu bringen, versehentlich MFA-Codes zu übergeben oder eine Zugriffsanfrage zu autorisieren, signalisiert dies Phishing-resistente Methoden anwenden müssen.

„Um ähnliche Angriffe zu verhindern, sollten Unternehmen zu sichereren Versionen der MFA-Genehmigung übergehen, wie z.

„Die Realität ist, dass, wenn ein Angreifer nur einen einzigen Benutzer kompromittieren muss, um erheblichen Schaden zu verursachen, Sie früher oder später erheblichen Schaden erleiden werden“, fügte Clements hinzu und betonte, dass starke Authentifizierungsmechanismen „eine von vielen tiefgreifenden Abwehrmaßnahmen sein sollten Kompromisse zu verhindern.”

.

Leave a Comment

Your email address will not be published.