Pazartesi günü Uber, geçen hafta meydana gelen güvenlik olayıyla ilgili daha fazla ayrıntı açıkladı ve saldırıyı kötü şöhretli LAPSUS$ hack grubuna bağlı olduğuna inandığı bir tehdit aktörüne sabitledi.
San Francisco merkezli şirket bir güncellemede, “Bu grup genellikle teknoloji şirketlerini hedeflemek için benzer teknikler kullanıyor ve yalnızca 2022’de Microsoft, Cisco, Samsung, NVIDIA ve Okta’yı ihlal etti.” Dedi.
Mali güdümlü gaspçı çete, Mart 2022’de Londra Şehri Polisi yaşları 16 ile 21 arasında değişen yedi şüpheli LAPSUS$ çete üyesini tutuklamak için harekete geçtiğinde büyük bir darbe aldı. Haftalar sonra, ikisi eylemlerinden dolayı suçlandı.
Tea Pot takma adıyla geçen 18 yaşındaki bir genç olan Uber ihlalinin arkasındaki bilgisayar korsanı, hafta sonu video oyunu yapımcısı Rockstar Games’e girme sorumluluğunu da üstlendi.
Uber, şirketin olayla ilgili soruşturması devam ederken, ABD Federal Soruşturma Bürosu (FBI) ve Adalet Bakanlığı ile konuyla ilgili koordinasyonun yanı sıra “birkaç önde gelen dijital adli tıp firması” ile çalıştığını söyledi.
Saldırının nasıl ortaya çıktığına gelince, araç paylaşım şirketi bir “EXT yüklenicisinin” kişisel cihazlarının kötü amaçlı yazılımlarla tehlikeye atıldığını ve kurumsal hesap bilgilerinin karanlık ağda çalınıp satıldığını ve Group-IB’nin daha önceki bir raporunu doğruladığını söyledi.
Singapur merkezli şirket, geçen hafta, Uber’in Brezilya ve Endonezya’da bulunan en az iki çalışanına Raccoon ve Vidar bilgi hırsızları bulaştığını kaydetti.
Şirket, “Saldırgan daha sonra müteahhitin Uber hesabına tekrar tekrar giriş yapmaya çalıştı” dedi. “Her seferinde yüklenici, başlangıçta erişimi engelleyen iki faktörlü bir oturum açma onayı talebi aldı. Ancak sonunda yüklenici bir tanesini kabul etti ve saldırgan başarıyla oturum açtı.”
Bir dayanak elde ettikten sonra, kötü niyetli kişinin diğer çalışan hesaplarına eriştiği ve böylece kötü niyetli tarafı Google Workspace ve Slack gibi “birkaç dahili sisteme” yükseltilmiş izinlerle donattığı söyleniyor.
Şirket ayrıca, olay müdahale önlemlerinin bir parçası olarak, etkilenen araçları devre dışı bırakmak, hizmetlere giden anahtarları döndürmek, kod tabanını kilitlemek ve ayrıca güvenliği ihlal edilmiş çalışan hesaplarının Uber sistemlerine erişmesini engellemek veya alternatif olarak bir şifre sıfırlama yayınlamak da dahil olmak üzere bir dizi adım attığını söyledi. bu hesaplar.
Uber, potansiyel olarak kaç çalışan hesabının tehlikeye atıldığını açıklamadı, ancak yetkisiz kod değişikliği yapılmadığını ve bilgisayar korsanının müşteriye yönelik uygulamalarını destekleyen üretim sistemlerine erişimi olduğuna dair bir kanıt olmadığını yineledi.
Bununla birlikte, iddia edilen genç bilgisayar korsanının, belirli faturaları yönetmek için finans ekibi tarafından kullanılan bir şirket içi araçtan belirsiz sayıda dahili Slack mesajı ve bilgisi indirdiği söyleniyor.
Uber ayrıca saldırganın HackerOne hata raporlarına eriştiğini doğruladı, ancak “saldırganın erişebildiği tüm hata raporları düzeltildi” dedi.
“İtme tabanlı hale getirmenin tek bir çözümü var. [multi-factor authentication] daha esnektir ve bu, push tabanlı MFA kullanan çalışanlarınızı, buna karşı yaygın saldırı türleri, bu saldırıların nasıl tespit edileceği ve meydana gelirlerse nasıl azaltılıp rapor edileceği konusunda eğitmektir,” Roger Grimes, veri odaklı KnowBe4’teki savunma evangelisti yaptığı açıklamada.
Cerberus Sentinel’de çözüm mimarisi başkan yardımcısı Chris Clements, kuruluşların MFA’nın “gümüş kurşun” olmadığını ve tüm faktörlerin eşit yaratılmadığını anlamasının çok önemli olduğunu söyledi.
SIM değiştirme saldırılarıyla ilişkili riskleri azaltmak için SMS tabanlı kimlik doğrulamadan uygulama tabanlı bir yaklaşıma geçiş olsa da, Uber ve Cisco’ya yönelik saldırı, bir zamanlar hatasız kabul edilen güvenlik kontrollerinin başka yollarla atlandığını vurguluyor.
Tehdit aktörlerinin, şüphelenmeyen bir çalışanı yanlışlıkla MFA kodlarını teslim etmesi veya bir erişim talebine yetki vermesi için kandırmak için ortadaki düşman (AiTM) proxy araç takımları ve MFA yorgunluğu (diğer bir deyişle hızlı bombalama) gibi saldırı yollarına güvendiği gerçeği, kimlik avına karşı dirençli yöntemler benimsemesi gerekir.
Clements, “Benzer saldırıları önlemek için kuruluşlar, bir kullanıcının bir kimlik doğrulama doğrulama istemini körü körüne onaylama riskini en aza indiren sayı eşleştirme gibi MFA onayının daha güvenli sürümlerine geçmelidir.” Dedi.
“Gerçek şu ki, bir saldırganın önemli hasara neden olmak için yalnızca tek bir kullanıcıyı tehlikeye atması gerekiyorsa, er ya da geç önemli bir hasara sahip olacaksınız,” diye ekledi Clements, güçlü kimlik doğrulama mekanizmalarının “birçok derinlemesine savunma kontrolünden biri olması gerektiğini” ekledi. uzlaşmayı önlemek için.”