Les pirates Lapsus $ ont utilisé des informations d’identification compromises pour s’introduire dans le réseau du géant du service client Sitel en janvier, quelques jours avant d’accéder ensuite aux systèmes internes du géant de l’authentification Okta, selon des documents vus par TechCrunch qui fournissent de nouveaux détails sur la cyber-intrusion qui n’ont pas encore été signalé.
Les clients n’ont appris la faille de sécurité d’Okta en janvier que le 22 mars après que le groupe de piratage Lapsus$ a publié des captures d’écran révélant qu’il avait accédé aux applications et systèmes internes d’Okta environ deux mois plus tôt. Okta a admis le compromis dans un article de blog et a confirmé plus tard que 366 de ses entreprises clientes étaient affectées par la violation, soit environ 2,5 % de sa clientèle.
Les documents fournissent le compte rendu le plus détaillé à ce jour de la compromission de Sitel, qui a permis aux pirates d’accéder ultérieurement au réseau d’Okta.
Okta est utilisé par des milliers d’organisations et de gouvernements dans le monde entier en tant que fournisseur d’authentification unique, permettant aux employés d’accéder en toute sécurité aux systèmes internes d’une entreprise, tels que les comptes de messagerie, les applications, les bases de données, etc.
Les documents, obtenus par un chercheur indépendant en sécurité Bill Demirkapi et partagé avec TechCrunch, incluent une communication client Sitel envoyée le 25 janvier – plus d’une semaine après que les pirates ont compromis son réseau pour la première fois – et une chronologie détaillée de l’intrusion Sitel compilée par la société de réponse aux incidents Mandiant en date du 17 mars qui a été partagée avec Okta.
Selon les documents, Sitel a déclaré avoir découvert l’incident de sécurité dans ses passerelles VPN sur un ancien réseau appartenant à Sykes, une société de service client travaillant pour Okta que Sitel a acquise en 2021. Les VPN, ou réseaux privés virtuels, sont souvent une cible pour les attaquants. car ils peuvent être exploités pour accéder à distance au réseau d’une entreprise.
La chronologie détaille comment les attaquants ont utilisé des services d’accès à distance et des outils de piratage accessibles au public pour compromettre et naviguer sur le réseau de Sitel, obtenant ainsi une meilleure visibilité sur le réseau au cours des cinq jours auxquels Lapsus$ a eu accès. Sitel a déclaré que son infrastructure cloud Azure était également compromise par des pirates.
Selon la chronologie, les pirates ont accédé à une feuille de calcul sur le réseau interne de Sitel au début du 21 janvier appelée « DomAdmins-LastPass.xlsx ». Le nom du fichier suggère que la feuille de calcul contenait des mots de passe pour les comptes d’administrateur de domaine qui ont été exportés à partir du gestionnaire de mots de passe LastPass d’un employé de Sitel. Le porte-parole de Sitel, Matt Jaffe, n’a pas contesté cette caractérisation lorsqu’il a été contacté par TechCrunch avant la publication, mais a plutôt refusé de commenter. Un jour après la publication, Sitel a déclaré dans un communiqué que la feuille de calcul « répertorie simplement les noms de compte de Sykes hérités mais ne contient aucun mot de passe », mais n’a fourni aucune preuve de cette affirmation.
Environ cinq heures plus tard, les pirates ont créé un nouveau compte d’utilisateur Sykes et ajouté le compte à un groupe d’utilisateurs appelé « administrateurs de locataires », qui ont un large accès à l’organisation, susceptible de créer un compte de « porte dérobée » sur le réseau de Sitel que les pirates pourraient utiliser s’ils ont été découverts ultérieurement et verrouillés. Les pirates Lapsus$ compromettaient le réseau d’Okta à peu près au même moment, selon la chronologie des événements d’Okta.
La chronologie montre que les pirates ont accédé pour la dernière fois au réseau de Sitel le 21 janvier à 14 heures (UTC), environ 14 heures après avoir accédé à la feuille de calcul. Sitel a émis une réinitialisation du mot de passe à l’échelle de l’entreprise pour tenter de verrouiller les attaquants.
Okta a été critiquée pour ne pas avoir averti plus tôt les clients de la violation de Sitel après avoir reçu le rapport de Mandiant daté du 17 mars. Le directeur de la sécurité d’Okta, David Bradbury, a déclaré que la société « aurait dû agir plus rapidement pour comprendre ses implications ».
Okta n’a pas été en mesure de commenter lorsqu’il a été contacté avant la publication. Mandiant n’a pas non plus contesté le contenu des rapports mais a refusé de commenter.
Okta n’est que l’une des nombreuses grandes entreprises ciblées par le groupe de piratage et d’extorsion Lapsus$ ces derniers mois. Le groupe Lapsus$ est apparu pour la première fois sur la scène du piratage en décembre après avoir ciblé le ministère brésilien de la Santé dans une cyberattaque qui a volé 50 téraoctets de données, y compris les informations de vaccination des citoyens. Depuis lors, le gang a ciblé plusieurs entreprises de langue portugaise, ainsi que des géants de la Big Tech dont Samsung, Nvidia, Microsoft et Okta, vantant ses accès et ses données volées aux dizaines de milliers d’abonnés de sa chaîne Telegram, tout en faisant souvent des choses inhabituelles. demandes en échange de ne pas publier les dossiers volés de leurs victimes,
La police britannique a déclaré la semaine dernière avoir arrêté sept personnes liées aux incidents, toutes âgées de 16 à 21 ans.
Titre mis à jour avec le commentaire du commentaire de Sitel, envoyé un jour après la publication.
Si vous en savez plus sur la violation ou si vous travaillez chez Okta ou Sitel, contactez le bureau de sécurité de Signal au +1 646-755-8849 ou [email protected] par e-mail.