Uber đổ lỗi cho LAPSUS $ Hacking Group vì vi phạm bảo mật gần đây

Tin tặc Uber LAPSUS $

Uber hôm thứ Hai đã tiết lộ thêm chi tiết liên quan đến sự cố bảo mật xảy ra vào tuần trước, xác định cuộc tấn công nhằm vào một kẻ đe dọa mà hãng tin rằng có liên quan đến nhóm hack LAPSUS $ khét tiếng.

Công ty có trụ sở tại San Francisco cho biết: “Nhóm này thường sử dụng các kỹ thuật tương tự để nhắm mục tiêu vào các công ty công nghệ và chỉ trong năm 2022 đã vi phạm , Cisco, Samsung, NVIDIA và Okta, cùng những người khác”.

Băng nhóm tống tiền có động cơ tài chính đã bị giáng một đòn mạnh vào tháng 3 năm 2022 khi Cảnh sát thành phố Luân Đôn tiến hành bắt giữ bảy thành viên băng đảng LAPSUS $ bị tình nghi ở độ tuổi từ 16 đến 21. Vài tuần sau, hai người trong số họ bị buộc tội vì hành động của mình.

Tin tặc đứng sau vụ vi phạm Uber, một thiếu niên 18 tuổi có biệt danh là Tea Pot, cũng đã nhận trách nhiệm đột nhập vào nhà sản xuất trò chơi điện tử Rockstar Games vào cuối tuần qua.

Uber cho biết họ đang làm việc với “một số công ty pháp y kỹ thuật số hàng đầu” khi cuộc điều tra của công ty về vụ việc vẫn tiếp tục, bên cạnh việc phối hợp với Cục Điều tra Liên bang Mỹ (FBI) và Bộ Tư pháp về vấn đề này.

Về cách cuộc tấn công diễn ra, công ty chia sẻ xe cho biết một “nhà thầu EXT” đã đánh cắp thiết bị cá nhân của họ với và thông tin đăng nhập tài khoản công ty của họ bị đánh cắp và bán trên dark web, chứng thực một báo cáo trước đó từ Group-IB.

Xem tiếp:   TA505 Tin tặc sử dụng Bảng điều khiển TeslaGun để quản lý các cuộc tấn công cửa hậu ServHelper

Tuần trước, công ty có trụ sở chính tại Singapore đã lưu ý rằng ít nhất hai nhân viên của Uber tại Brazil và Indonesia đã bị nhiễm những kẻ đánh cắp thông tin Raccoon và Vidar.

“Kẻ tấn công sau đó liên tục cố gắng đăng nhập vào tài khoản Uber của nhà thầu”, công ty cho biết. “Mỗi lần, nhà thầu nhận được yêu cầu phê duyệt đăng nhập hai yếu tố, yêu cầu này ban đầu đã chặn quyền truy cập. Tuy nhiên, cuối cùng, nhà thầu đã chấp nhận một yêu cầu và kẻ tấn công đã đăng nhập thành công.”

Sau khi có được chỗ đứng, kẻ gian được cho là đã truy cập vào tài khoản của nhân viên khác, do đó trang bị cho bên độc hại quyền cao đối với “một số hệ thống nội bộ” như Workspace và Slack.

Công ty cũng cho biết họ đã thực hiện một số bước như một phần của các biện pháp ứng phó sự cố, bao gồm vô hiệu hóa các công cụ bị ảnh hưởng, xoay chìa khóa dịch vụ, khóa cơ sở mã và cũng chặn các tài khoản nhân viên bị xâm phạm truy cập vào hệ thống của Uber hoặc đặt lại mật khẩu cho các tài khoản đó.

Uber không tiết lộ có bao nhiêu tài khoản của nhân viên có khả năng bị xâm phạm, nhưng họ nhắc lại rằng không có thay đổi mã trái phép nào được thực hiện và không có bằng chứng nào về việc hacker có quyền truy cập vào các hệ thống sản xuất hỗ trợ các ứng dụng dành cho khách hàng của họ.

Xem tiếp:   Lỗi Samba mới cho phép những kẻ tấn công từ xa thực thi mã tùy ý làm gốc

Điều đó nói rằng, hacker tuổi teen bị cáo buộc được cho là đã tải xuống một số thông báo và thông tin nội bộ Slack không xác định từ một công cụ nội bộ được nhóm tài chính của họ sử dụng để quản lý một số hóa đơn nhất định.

Uber cũng xác nhận rằng kẻ tấn công đã truy cập vào các báo cáo lỗi của HackerOne, nhưng lưu ý rằng “bất kỳ báo cáo lỗi nào mà kẻ tấn công có thể truy cập đã được khắc phục.”

“Chỉ có một giải pháp để tạo ra [multi-factor authentication] linh hoạt hơn và đó là đào tạo nhân viên của bạn, những người sử dụng MFA dựa trên đẩy, về các loại tấn công phổ biến chống lại nó, cách phát hiện các cuộc tấn công đó cũng như cách giảm thiểu và báo cáo nếu chúng xảy ra “, Roger Grimes, hướng dẫn dữ liệu nhà truyền giáo bảo vệ tại KnowBe4, cho biết trong một tuyên bố.

Chris Clements, phó chủ tịch kiến ​​trúc giải pháp tại Cerberus Sentinel, cho biết điều quan trọng là các tổ chức phải nhận ra rằng MFA không phải là một “viên đạn bạc” và rằng không phải tất cả các yếu tố đều được tạo ra như nhau.

Mặc dù đã có sự thay đổi từ xác thực dựa trên SMS sang cách tiếp cận dựa trên ứng dụng để giảm thiểu rủi ro liên quan đến các cuộc tấn công hoán đổi SIM, cuộc tấn công nhằm vào Uber và Cisco nhấn mạnh rằng các biện pháp kiểm soát bảo mật từng được coi là không thể sai lầm đang bị bỏ qua bằng các phương tiện khác.

Xem tiếp:   Các hệ thống được tin tặc kiểm duyệt tại Đại hội Thể thao Quốc gia của Trung Quốc ngay trước khi thi đấu

Thực tế là các tác nhân đe dọa đang tìm kiếm các con đường tấn công như bộ công cụ proxy đối thủ ở giữa (AiTM) và MFA mệt mỏi (hay còn gọi là đánh bom khẩn cấp) để lừa một nhân viên không nghi ngờ vô tình chuyển giao mã MFA hoặc cho phép một yêu cầu truy cập báo hiệu cần áp dụng các phương pháp chống lừa đảo.

Clements nói: “Để ngăn chặn các cuộc tấn công tương tự, các tổ chức nên chuyển sang các phiên bản phê duyệt MFA an toàn hơn, chẳng hạn như đối sánh số để giảm thiểu nguy cơ người dùng chấp thuận một cách mù quáng lời nhắc xác minh xác thực”.

“Thực tế là nếu kẻ tấn công chỉ cần xâm nhập một người dùng duy nhất để gây ra thiệt hại đáng kể, thì sớm muộn gì bạn cũng sẽ phải chịu thiệt hại đáng kể”, Clements nói thêm, nhấn mạnh cơ chế xác thực mạnh mẽ “nên là một trong nhiều biện pháp phòng thủ chuyên sâu. để ngăn chặn sự thỏa hiệp. “

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …