La semaine a été chargée pour le collectif de piratage et d’extorsion Lapsus$. Il a d’abord divulgué ce qu’il prétendait être des informations sur les comptes des employés de LG Électroniqueainsi que le code source pour une variété de Microsoft des produits.
Quelques heures plus tard, le groupe a également publié des captures d’écran indiquant qu’il avait violé la société de gestion des identités et des accès. Okta. La nouvelle de la violation potentielle s’est rapidement propagée en ligne.
Okta fournit un service d’authentification unique pour les grandes organisations qui permet aux employés de se connecter à plusieurs systèmes sans avoir besoin d’un mot de passe différent pour chacun. Un piratage d’Okta pourrait avoir des conséquences potentiellement graves pour les clients.
La réponse d’Okta
Okta a publié une version préliminaire déclaration mardi matin, indiquant que les captures d’écran publiées par Lapsus$ provenaient « d’une tentative de compromission du compte d’un ingénieur de support client tiers travaillant pour l’un de nos sous-traitants » qui s’est produite en janvier de cette année.
Une seconde déclaration de David Bradley, directeur de la sécurité chez Okta, a fourni plus de détails sur la « tentative infructueuse » de violation du compte de l’ingénieur de support.
Tout en rassurant les clients sur le fait que « le service Okta n’a pas été piraté et reste pleinement opérationnel », il a également admis qu’une enquête médico-légale a révélé « qu’il y avait une fenêtre de temps de cinq jours entre le 16 et le 21 janvier 2022, où un attaquant avait accès à l’ordinateur portable d’un ingénieur de support ». Bradley a cependant insisté sur le fait que « [t]L’impact potentiel sur les clients d’Okta est limité à l’accès dont disposent les ingénieurs de support », notant en particulier que le groupe de piratage ne peut pas télécharger les données des clients et n’a pas accès aux mots de passe.
Le chercheur indépendant en sécurité Bill Demirkapi a fourni de plus amples détails à Tech Radar Pro par email. Il a expliqué que l’ingénieur de support tiers semblait travailler pour SYKES Enterprises, Inc, maintenant confirmé par Okta, et que, « grâce à l’accès dont disposait ce personnel d’assistance, Lapsus$ a pu violer le panneau d’accès administratif interne Slack, Jira et backend d’Okta utilisé pour aider les clients ». Il a ajouté que « pour le moment, il ne semble pas que Lapsus $ ait toujours accès à l’environnement d’Okta ».
Mardi après-midi, Lapsus$ a répondu à la déclaration de Bradley sur sa chaîne Telegram, contestant sa qualification de l’attaque comme « infructueuse ». Lapsus$ a également affirmé qu’Okta avait stocké des clés AWS dans Slack et a appelé l’entreprise pour avoir attendu si longtemps. pour informer leurs utilisateurs de l’incident de janvier.
Bradley a depuis reconnu qu' »un petit pourcentage de clients – environ 2,5 % [366 companies] – ont potentiellement été touchés » par l’incident et ont peut-être vu leurs données « consultées ou traitées », bien qu’il continue d’insister sur le fait qu' »il n’y a aucune action corrective que nos clients doivent prendre ».
Dans un espace séparé Publier, Bradley a établi un calendrier pour l’incident et a abordé la référence antérieure de Lapsus $ à un portail « superutilisateur », mettant fin aux affirmations selon lesquelles cela donnait au groupe un « accès divin » aux comptes clients. Au lieu de cela, Bradley a précisé que le portail superutilisateur « est une application conçue avec le moindre privilège à l’esprit pour garantir que les ingénieurs de support ne reçoivent que l’accès spécifique dont ils ont besoin pour remplir leurs rôles ».
Okta a fait l’objet de critiques, à la fois de Lapsus$ et de l’industrie de la sécurité, pour ne pas avoir divulgué l’incident de janvier plus tôt. Sans surprise, la brèche a rendu les investisseurs nerveux, entraînant une laissez tomber dans le cours de l’action d’Okta, ainsi qu’un rétrograder de Raymond James Equity Research.
Qui est Lapsus$ ?
Malgré le chaos causé par ses membres cette semaine, Lapsus$ est relativement nouveau sur la scène de la cybercriminalité. Le collectif de piratage a d’abord émergé à la fin de l’année dernièremais a déjà percé de grands noms, dont Microsoft, Nvidia, Samsung et Ubisoft.
Mardi, Microsoft a publié un rapport à propos de Lapsus$, notant que le groupe est non conventionnel, car il diffuse ses activités sur les réseaux sociaux et recrute ouvertement des employés prêts à leur donner accès aux entreprises qu’ils veulent pirater.
Tout en gagnant les fans en ligne du groupe, la présence de Lapsus$ sur les réseaux sociaux fonctionne également à son détriment. Lapsus$ a fait connaître l’attaque contre Microsoft sur les réseaux sociaux pendant que ça se passaitqui, selon Microsoft, « a intensifié notre action permettant à notre équipe d’intervenir et d’interrompre l’acteur en cours d’opération, limitant ainsi un impact plus large ».
Bloomberg signalé mercredi que deux des membres de Lapsus$ seraient des adolescents, l’un vivant près d’Oxford au Royaume-Uni et l’autre au Brésil. L’adolescent britannique, connu sous les pseudonymes « White » et « Breachbase », a été identifié par chercheurs en cybersécurité dès la mi-2021 après avoir laissé une trace d’informations sur lui-même en ligne. Il était aussi doxxé par d’autres pirates, qui prétendent qu’il a près de 14 millions de dollars en crypto-monnaie.
Jeudi, la BBC signalé que sept personnes âgées de 16 à 21 ans avaient été arrêtées par la police de Londres dans le cadre d’une enquête liée à Lapsus $, bien qu’il ne soit pas clair si les adolescents mentionnés par Bloomberg faisaient partie des personnes arrêtées. Les sept ont depuis été libérés sous enquête.
Mardi soir, Lapsus$ a annoncé que le groupe « pourrait être silencieux » pendant un certain temps, puisque certains de leurs membres partaient « en vacances jusqu’au 30/3/2022 ». Alors que le groupe promettait « d’essayer de faire fuiter des trucs dès que possible », à la lumière des récentes arrestations, le collectif pourrait prendre une pause plus longue que prévu.
Malgré leur jeunesse, les adolescents membres de Lapsus$ sont extrêmement compétents. Comme Microsoft c’est notéLapsus$ « comprend la nature interconnectée des identités et des relations de confiance dans les écosystèmes technologiques modernes et cible les télécommunications, la technologie, les services informatiques et les entreprises de support pour tirer parti de leur accès à partir d’une organisation pour accéder aux organisations partenaires ou fournisseurs ».
Comment les entreprises peuvent se protéger
Microsoft rapport contenait des conseils aux entreprises sur la façon de se protéger contre les attaques de Lapsus$. Le rapport note que « l’authentification multifactorielle (MFA) est l’une des principales lignes de défense contre » le collectif de piratage. Mais il a également souligné que les méthodes non sécurisées, telles que la MFA par SMS, ne suffisent pas, puisque Lapsus$ s’est lancé dans des attaques par échange de cartes SIM pour accéder aux codes SMS MFA.
Comme Lapsus$ vole souvent des informations d’identification via l’ingénierie sociale, Microsoft a également recommandé de sensibiliser davantage les employés à ce type d’attaques. D’autres suggestions incluaient l’utilisation des « options d’authentification modernes » pour les VPN et la garantie que les canaux de communication de réponse aux incidents sont « étroitement surveillés pour les participants non autorisés » au cas où Lapsus$ essaierait de se faufiler.
En outre, Microsoft a fourni un ensemble de ressources que les entreprises peuvent utiliser pour aider à « détecter, traquer et répondre » aux attaques de Lapsus$ ou de groupes imitant les mêmes méthodes.