Uç Nokta Güvenliği , Kimlik ve Erişim Yönetimi , Olay ve İhlal Müdahalesi
Saldırganlar, Erişim İçin Üçüncü Taraf Yazılımlardaki Güvenlik Açığı Kullandı
Bay Mihir (MihirBagwe) •
28 Şubat 2023
Parola yöneticisi şirketi LastPass’taki durum kötüleşmeye devam ediyor: Tarihsiz bir güncellemede, şirket artık bilgisayar korsanlarının şirket kasasına erişim elde etmek için bir DevOps çalışanının ev bilgisayarına keylogger yazılımı yerleştirdiğini söylüyor.
Ayrıca bakınız: Müşteri Kimliğinizi Doğrulayın, Doğrulayın ve Doğrulayın
Bilgisayar korsanı, uzaktan kod yürütme güvenlik açığına sahip üçüncü taraf bir medya yazılım paketi aracılığıyla yerleştirilen keylogger aracılığıyla, çalışanın ana parolasını ele geçirmeyi ve şirket kasasına erişim için çok faktörlü kimlik doğrulama gereksinimini atlatmayı başardı.
Bilgisayar korsanı, şirketin Amazon Web Services bulut depolama hesabında depolanan üretim yedeklerine erişmek için gereken “erişim ve şifre çözme anahtarlarıyla şifrelenmiş güvenli notları” çaldı. Şirket, hedeflenen çalışanın AWS’ye erişmek için gereken şifre çözme anahtarlarına erişimi olan dört şirket çalışanından biri olduğunu söylüyor.
LastPass, çalınan verilerin müşteri meta verilerini, API sırlarını, üçüncü taraf entegrasyon sırlarını ve yapılandırma verilerini içerdiğini söylüyor. Ayrıca müşteri kasa verilerinin yedekleri de çalındı, ancak şirket bunların şifresinin yalnızca LastPass tarafından saklanmayan veya bilinmeyen son kullanıcı ana parolasıyla çözülebileceğini söylüyor. Bilgisayar korsanları ayrıca çok faktörlü kimlik doğrulama yedeklemesi için kullanılan müşteri telefon numaralarını da ele geçirdi.
Şirket, koordineli saldırı olarak adlandırdıkları saldırının arkasındaki bilgisayar korsanlarının, müşteri veri kasalarının şifresini kaba kuvvetle çözmeye çalışabileceği ve müşteri verilerini kimlik avı saldırıları veya hesaplarına yönelik kimlik bilgisi doldurma saldırıları ile kullanıcıları hedeflemek için kullanabileceği konusunda uyarıyor. Bilgisayar korsanlarının elde ettiği verilere, müşterilerin kasalarındaki kayıtlı bir girişle eşleşen web sitelerinin şifrelenmemiş URL’leri de dahil edildi.
LastPass, bilgisayar korsanlarının bir çalışanın bilgisayarına keylogger yerleştirmek için kullandıkları yazılım paketi güvenlik açığını açıklamadı. Ars Technica, saldırganların yararlandığı yazılımın Plex medya platformu olduğunu bildirdi.
LastPass, şirketin ilk olarak kaynak kodunun ve özel teknik bilgilerinin ötesinde hiçbir şeyi etkilemediğini değerlendirdiği Ağustos ayı ihlalinden kaynaklanan genişleyen bir dizi etkiyi yavaş yavaş kabul etti. Bu durum, şirketin bilgisayar korsanlarının şifrelenmiş müşteri kasası verilerini kopyalayabildiğini ilk kez söylediği Aralık ayında değişti.
Şirket, tehdit aktörünün “ilk olaydan dönerek” “12 Ağustos 2022’den 26 Ekim 2022’ye kadar uzanan bulut depolama ortamıyla uyumlu yeni bir dizi keşif, sayım ve sızma faaliyetine” giriştiğini söylüyor.
Siber güvenlik şirketi Sophos, saldırıyla ilgili bir yazıda, “Bu bağlamda pivot kelimesi, ‘Dolandırıcılar sonra nereye gitti’ demenin sadece bir jargon yolu” dedi.
LastPass, saldırganın kıdemli bir DevOps mühendisinden çalınan geçerli kimlik bilgilerine sahip olması nedeniyle AWS hesabında faaliyet gösteren bilgisayar korsanını tespit etmenin zor olduğunu söylüyor. Bu, “başlangıçta müfettişlerin tehdit aktörü faaliyetleri ile devam eden meşru faaliyetler arasında ayrım yapmasını zorlaştırdı.” Sonunda, AWS tehdit algılama hizmeti anormal bir davranış tespit etti.
LastPass, dünyanın en popüler şifre yönetimi hizmetlerinden biridir. Şirket, 33 milyondan fazla kişi ve 100.000 işletme tarafından kullanıldığını söylüyor.