ABD merkezli kurumsal yazılım firması JumpCloud, devlet destekli bir bilgisayar korsanlığı grubunun, sınırlı bir müşteri grubuna odaklanan yüksek hedefli bir saldırının parçası olarak yaklaşık bir ay önce sistemlerini ihlal ettiğini söyledi.
Şirket olayı, saldırganların mızraklı kimlik avı saldırısı yoluyla sistemlerini ihlal etmesinden bir hafta sonra, 27 Haziran’da fark etti.
JumpCloud, o sırada müşterilerinin etkilendiğine dair bir kanıt bulamasa da, şirket kimlik bilgilerini döndürmeye ve güvenliği ihlal edilmiş altyapıyı yeniden oluşturmaya karar verdi.
5 Temmuz’da JumpCloud, saldırıyı araştırırken ve IR ortakları ve kolluk kuvvetleriyle işbirliği içinde kötü niyetli etkinlik belirtileri için günlükleri analiz ederken “küçük bir müşteri grubu için komutlar çerçevesinde olağandışı etkinlik” keşfetti.
Aynı gün şirket, müşterilerin kuruluşlarını korumak için tüm yönetici API anahtarlarını zorunlu olarak döndürür ve onları yeni anahtarlar oluşturmaları konusunda bilgilendirir.
JumpCloud CISO’su Bob Phan, “Devam eden analiz, saldırı vektörünü ortaya çıkardı: komut çerçevemize veri enjeksiyonu. Analiz, saldırının son derece hedefli ve belirli müşterilerle sınırlı olduğuna dair şüpheleri de doğruladı.”
“Bunlar, gelişmiş yeteneklere sahip sofistike ve ısrarcı düşmanlar. En güçlü savunma hattımız, bilgi paylaşımı ve işbirliğidir.”
JumpCloud, danışma belgesinde paylaşılan olay ayrıntılarıyla birlikte, iş ortaklarının ağlarını aynı tehdit grubundan gelen benzer saldırılara karşı korumalarına olanak tanımak için uzlaşma göstergeleri (IOC’ler) yayınladı.
JumpCloud, saldırıdan etkilenen müşterilerin sayısı hakkında henüz herhangi bir bilgi sağlamadı ve ihlalin arkasındaki APT grubunu belirli bir durumla ilişkilendirmedi.
Phan, “Müşterilerimizi gelecekteki tehditlerden korumak için kendi güvenlik önlemlerimizi geliştirmeye devam edeceğiz ve bu tehdide ilişkin bilgileri paylaşmak için hükümet ve endüstri ortaklarımızla yakın bir şekilde çalışacağız” dedi.
Ocak ayında JumpCloud, bir CircleCI güvenlik olayının müşterileri üzerindeki potansiyel etkisini de araştırdı.
2013 yılında kurulan ve merkezi Louisville, Colorado’da bulunan JumpCloud hizmet olarak dizin platformu, 160’tan fazla ülkede 180.000’den fazla kuruluşa tek oturum açma ve çok faktörlü kimlik doğrulama hizmetleri sağlar.