Kimlik bilgisi yönetimi uzmanı LastPass’ın bir dizi uzlaşmasının arkasındaki tehdit aktörü, kuruluşun şifre çözme anahtarlarına erişim elde etmek için bir DevOps mühendisinin ev bilgisayarına saldırdı.
İlk saldırı Ağustos 2022’de gerçekleşti ve LastPass’ın, saldırganın bazı kaynak kodlarına ve özel teknik bilgilere eriştiği olaya hızlı tepki vermesi nedeniyle övüldüğünü gördü.
Daha sonra, LastPass tarafından tamamlanan bir sıfırlamadan önce bu noktada elde edilen bilgileri, Aralık 2022’de açıklanan ve müşteri verilerine eriştiklerini gören ikinci, daha derin ve daha uzun süreli bir izinsiz girişle bulut depolama kaynaklarından verileri numaralandırmak ve sızdırmak için kullandılar. .
Ele geçirilen müşteri verileri, şirket ve kullanıcı adları, fatura adresleri, e-posta adresleri, telefon numaraları ve LastPass’a eriştikleri IP adresleri gibi hesap bilgilerini içeriyordu.
Siber suçlular, şifrelenmiş alanlar da dahil olmak üzere müşteri kasası verilerinin bir yedeğine de erişti, ancak bunlar 256 bit AES şifreleme ile şifrelendiğinden ve yalnızca kullanıcının ana parolasından türetilen ve LastPass tarafından asla bilinmeyen bir anahtar kullanılarak şifresi çözülebildiğinden, bu, kullanıcı önerilen en iyi uygulamayı takip ettiği sürece bunu başarmak çok zor olabilir.
Başlangıçta, LastPass yalnızca saldırganın bir geliştiricinin uç noktasını hedeflediğini ortaya çıkardı, ancak soruşturma şimdi daha fazla ayrıntı ortaya çıkardı.
LastPass yeni bir açıklamasında, “LastPass üretiminin şirket içi veri merkezi kurulumlarını koruyan ve güvence altına alan güvenlik kontrolleri nedeniyle, tehdit aktörü, bulut depolama hizmetine erişmek için gereken şifre çözme anahtarlarına erişimi olan dört DevOps mühendisinden birini hedef aldı.” güncelleme.
“Bu, DevOps mühendisinin ev bilgisayarını hedefleyerek ve uzaktan kod yürütmeyi etkinleştiren savunmasız bir üçüncü taraf medya yazılım paketinden yararlanarak gerçekleştirildi. [RCE] yetenek ve tehdit aktörünün keylogger kötü amaçlı yazılımı yerleştirmesine izin verdi. Tehdit aktörü, çalışanın MFA ile kimliğini doğruladıktan sonra, çalışanın ana parolasını girildiği anda yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı.
“Tehdit aktörü daha sonra yerel kurumsal kasa girişlerini ve AWS S3 LastPass üretim yedeklerine, diğer bulut tabanlı depolama kaynaklarına ve bazı ilgili kritik veritabanı yedeklerine erişmek için gereken erişim ve şifre çözme anahtarlarıyla şifrelenmiş güvenli notları içeren paylaşılan klasörlerin içeriğini dışa aktardı. dedi örgüt.
Söz konusu mühendisin ev ağını ve ekipmanını güçlendirmek için destek aldığını da sözlerine ekledi.
LastPass, saldırı zincirinde kullanılan farklı taktikler, teknikler ve prosedürler (TTP’ler) nedeniyle, ilk başta iki farklı olay gibi görünen olayların aslında bağlantılı olduğunun hemen belli olmadığını söyledi.
Ek olarak, olaylar boyunca uyarı verme ve günlüğe kaydetme etkinleştirildi, ancak daha sonra daha belirgin hale gelen anormal davranışı hemen göstermedi. Şanssız mühendisin geçerli kimlik bilgilerinin paylaşılan bir bulut depolama ortamına erişmek için kullanılıyor olması, meşru ve gayri meşru faaliyetler arasında ayrım yapmayı zorlaştırdı.
LastPass, nihayetinde AWS’ye teşekkür etmesi gerektiğini söyledi – saldırgan, yetkisiz etkinlik gerçekleştirmek için bulut kimliğini ve erişim yönetimi rollerini kullanmaya çalışırken anormal davranışı işaretleyen tedarikçinin GuardDuty Uyarılarıydı.
Saldırıdan bu yana LastPass, kritik ve yüksek ayrıcalıklı kimlik bilgilerini döndürmek, güvenliği ihlal edilmiş sertifikaları iptal etmek ve yeniden yayınlamak ve AWS S3 kaynaklarına ek sağlamlaştırma önlemleri uygulamak dahil olmak üzere kendi siber güvenliğini sağlamlaştırmak için bir dizi adım attı.
Uyarılara hızlı bir şekilde yanıt verme yeteneğindeki bariz başarısızlıklar göz önüne alındığında, tehdit algılama ve yanıt kapsamını da revize etti ve buna yardımcı olmak için, AWS kaynaklarının potansiyel kötüye kullanımını tespit etmeye yönelik özel analitik dahil olmak üzere yeni otomatikleştirilmiş ve yönetilen hizmetleri devreye aldı.