Tehdit aktörü, ilk olaydan gelen bilgileri, üçüncü taraf bir veri ihlalinden gelen bilgileri ve üçüncü taraf medya yazılım paketindeki bir kusuru kullanarak ikinci bir “koordineli saldırı” gerçekleştirmek için LastPass’ı hedef aldı.
Bu kampanya, koordineli bir saldırıyla LastPass çalışanına, kaynaklarına ve altyapısına saldırdı.
“Araştırmamız, tehdit aktörünün 12 Ağustos 2022’de sona eren ilk olaydan döndüğünü, ancak 12 Ağustos’tan itibaren bulut depolama ortamıyla uyumlu yeni bir dizi keşif, sayım ve hırsızlık faaliyetinde aktif olarak yer aldığını ortaya çıkardı. 2022’den 26 Ekim 2022’ye”, LastPass bildiriyor.
Tehdit Aktörü, Paylaşılan Bir Bulut Depolama Ortamına Erişim Kazandı
LastPass, tehdit aktörünün, paylaşılan bir bulut depolama ortamına erişmek için kıdemli bir DevOps mühendisinden alınan meşru kimlik bilgilerini kullanabildiğini belirtti.
Tehdit aktörünün bulut tabanlı depolama kaynaklarına, özellikle de AWS S3-SSE şifrelemesi, AWS S3-KMS şifrelemesi veya AWS S3 kullanılarak korunan S3 klasörlerine erişmek için AWS Erişim Anahtarlarını ve LastPass tarafından oluşturulan şifre çözme anahtarlarını kazanması gerekir. -SSE-C şifrelemesi.
LastPass kullanıcı verilerinin yedekleri ve şifrelenmiş kasalardan alınan veriler, şifrelenmiş bulut tabanlı depolama hizmetlerinde saklanır.
Tehdit aktörü, şifre çözme anahtarlarına erişimi olan tek kişi oldukları için dört LastPass DevOps mühendisinden birini hedef aldı.
Sonunda bilgisayar korsanları, üçüncü taraf bir medya yazılım paketindeki uzaktan kod yürütme kusurundan yararlanarak çalışanın cihazına bir keylogger’ı başarıyla kurmayı başardı.
“Tehdit aktörü, çalışanın MFA ile kimliğini doğruladıktan sonra, çalışanın ana parolasını girildiği anda yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı”, LastPass.
“Tehdit aktörü daha sonra, AWS S3 LastPass üretim yedeklerine, diğer bulut tabanlı depolama kaynaklarına ve bazı ilgili kritik veritabanı yedeklerine erişmek için gereken erişim ve şifre çözme anahtarlarıyla şifrelenmiş güvenli notları içeren yerel kurumsal kasa girişlerini ve paylaşılan klasörlerin içeriğini dışa aktardı. ”.
Tehdit aktörü yasa dışı faaliyetler yürütmek için Bulut Kimlik ve Erişim Yönetimi (IAM) rollerini kullanmaya çalışırken, LastPass sonunda AWS GuardDuty Alerts aracılığıyla garip davranışı keşfetti.
Olay 1’de Erişilen Veriler:
- 200 yazılım havuzundan 14’ü isteğe bağlı, bulut tabanlı geliştirme ve kaynak kod havuzlarıydı.
- LastPass sırlarını ve sertifikalarını içeren dahili depo komut dosyaları.
- Dahili belgeler – geliştirme ortamının işleyişini açıklayan teknik bilgiler.
Olay 2’de Erişilen Veriler:
- DevOps Sırları – bulut tabanlı yedekleme depomuza erişim elde etmek için kullanılan kısıtlı sırlar.
- Bulut yedekleme depolaması – yapılandırma verilerini, API sırlarını, üçüncü taraf entegrasyon sırlarını, müşteri meta verilerini ve tüm müşteri kasası verilerinin yedeklerini içeriyordu. URL’ler, yüklü LastPass Windows veya macOS yazılımına giden dosya yolları ve e-posta adreslerini içeren belirli kullanım durumları dışında tüm hassas müşteri kasası verileri Sıfır bilgi modelimiz kullanılarak şifrelenmiştir ve yalnızca her kullanıcının ana parolasından türetilen benzersiz bir şifreleme anahtarıyla şifresi çözülebilir. . Hatırlatıcı olarak, son kullanıcı ana parolaları LastPass tarafından asla bilinmez ve LastPass tarafından asla saklanmaz veya saklanmaz; bu nedenle, dışarı sızan verilere dahil edilmediler.
- LastPass MFA/Federasyon Veritabanı Yedeklemesi – LastPass Authenticator tohumlarının kopyalarını, MFA yedekleme seçeneği için kullanılan telefon numaralarını (etkinleştirilmişse) ve LastPass federasyonu (etkinleştirilmişse) için kullanılan bölünmüş bir bilgi bileşenini (K2 “anahtarı”) içerir. Bu veri tabanı şifreli olmasına rağmen, ayrı olarak saklanan şifre çözme anahtarı, ikinci aktivite sırasında tehdit aktörü tarafından çalınan gizli bilgiler arasındaydı.
Şirket, DevOps Mühendisine ev ağlarının ve kişisel kaynaklarının güvenliğini sağlamlaştırma konusunda yardımcı oldu. Ayrıca, LastPass’ın AWS S3 bulut tabanlı depolama kaynakları incelendi ve ilave S3 sağlamlaştırma önlemleri uygulandı.
O zamandan beri, şirkete göre, sertifikaları iptal ederek, hassas kimlik bilgilerini ve kimlik doğrulama anahtarlarını/belirteçlerini döndürerek, daha fazla günlük kaydı ve uyarı ekleyerek ve daha sıkı güvenlik standartları uygulayarak genel güvenliklerini değiştirdiler.
Ağ Güvenliği Kontrol Listesi – Ücretsiz E-Kitap İndirin