Την περασμένη εβδομάδα, η Uber επηρεάστηκε από μια κυβερνοεπίθεση, καθώς hacker απέκτησε πρόσβαση σε vulnerability reports και μοιράστηκε δημοσίως screenshots με δεδομένα από τα εσωτερικά συστήματα της εταιρείας, του email dashboard και του Slack server. Τώρα, η Uber πιστεύει ότι ο hacker πίσω από την επίθεση συνδέεται με την ομάδα εκβιασμών Lapsus$, η οποία στο παρελθόν έχει παραβιάσει και άλλες μεγάλες εταιρείες τεχνολογίας όπως η Microsoft, η Cisco, η NVIDIA, η Samsung και η Okta.
Η ομάδα Lapsus$ έγινε γνωστή τον Φεβρουάριο και τον Μάρτιο, όταν έκλεψε με επιτυχία δεδομένα από τις παραπάνω εταιρείες. Η αστυνομία στο Ηνωμένο Βασίλειο συνέλαβε αργότερα επτά άτομα για συμμετοχή στη συμμορία Lapsus$. Δύο από τους υπόπτους, ένας 16χρονος και ο 17χρονος, κατηγορήθηκαν αργότερα για εγκλήματα παραβίασης υπολογιστών.
Δείτε επίσης: Η American Airlines αποκάλυψε παραβίαση δεδομένων
Ωστόσο, είναι πιθανό ότι τουλάχιστον ένα μέλος της Lapsus$ παραμένει ελεύθερο, σύμφωνα με την Uber. Η εταιρεία είπε ότι ο εισβολέας χρησιμοποίησε τα κλεμμένα credentials ενός εργολάβου της Uber σε μια επίθεση MFA fatigue, όπου ο εργολάβος πλημμύρισε από αιτήματα σύνδεσης για έλεγχο ταυτότητας δύο παραγόντων (2FA), μέχρι να γίνει αποδεκτό ένα από αυτά.
Αυτή η τακτική social engineering έχει γίνει πολύ δημοφιλής και έχει χρησιμοποιηθεί σε πρόσφατες επιθέσεις εναντίον γνωστών εταιρειών, συμπεριλαμβανομένων των Twitter, Robinhood, MailChimp και Okta.
“Από εκεί, ο εισβολέας είχε πρόσβαση σε αρκετούς άλλους λογαριασμούς υπαλλήλων που τελικά του έδωσαν αυξημένα δικαιώματα σε μια σειρά εργαλείων, συμπεριλαμβανομένων των G-Suite και Slack“, εξήγησε η Uber.
Στη συνέχεια, ο εισβολέας δημοσίευσε ένα μήνυμα σε ένα κανάλι Slack σε ολόκληρη την εταιρεία και αναδιαμόρφωσε το OpenDNS της Uber ώστε να εμφανίζει μια εικόνα στους υπαλλήλους σε ορισμένους εσωτερικούς ιστότοπους.
Η Uber είπε ότι δεν βρήκε στοιχεία που να αποδεικνύουν ότι ο επιτιθέμενος είχε πρόσβαση σε συστήματα που αποθηκεύουν ευαίσθητες πληροφορίες χρήστη, (π.χ. αριθμούς πιστωτικών καρτών, πληροφορίες τραπεζικού λογαριασμού χρήστη, προσωπικά δεδομένα υγείας ή ιστορικό ταξιδιού).
Δείτε επίσης: Η Bitdefender κυκλοφορεί δωρεάν decryptor για το LockerGoga ransomware
Η Uber λέει ότι έλαβε ορισμένα μέτρα για να αποτρέψει μελλοντικές παραβιάσεις. Για παράδειγμα, η εταιρεία εντόπισε τους λογαριασμούς εργαζομένων που παραβιάστηκαν ή δυνητικά παραβιάστηκαν και απέκλεισε την πρόσβασή τους στα συστήματα Uber ή προχώρησε σε επαναφορά κωδικού πρόσβασης. Επιπλέον, η Uber προχώρησε σε απενεργοποίηση πολλών επηρεασμένων ή δυνητικά επηρεασμένων εσωτερικών εργαλείων. Ακόμα, κατά την επαναφορά της πρόσβασης σε εσωτερικά εργαλεία, οι υπάλληλοι κλήθηκαν να πραγματοποιήσουν εκ νέου έλεγχο ταυτότητας, ενώ ενισχύθηκαν περαιτέρω και οι πολιτικές ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA). Τέλος, η εταιρεία ενίσχυσε τα εργαλεία παρακολούθησης του εσωτερικού περιβάλλοντος για τον εντοπισμό οποιασδήποτε ύποπτης δραστηριότητας.
Επιβεβαιώθηκε η πρόσβαση σε αναφορές ευπαθειών
Η Uber πρόσθεσε ότι δεν έχει ακόμη βρει αποδείξεις για πρόσβαση και εισαγωγή οποιουδήποτε κακόβουλου κώδικα στο codebase της.
“Πρώτον και κύριον, δεν είδαμε ότι ο εισβολέας είχε πρόσβαση στα συστήματα παραγωγής (δηλαδή δημόσια) που τροφοδοτούν τις εφαρμογές μας, σε οποιονδήποτε λογαριασμό χρήστη ή στις βάσεις δεδομένων που χρησιμοποιούμε για την αποθήκευση ευαίσθητων πληροφοριών χρήστη, όπως αριθμούς πιστωτικών καρτών, τράπεζα χρηστών πληροφορίες λογαριασμού ή ιστορικό ταξιδιού. Κρυπτογραφούμε επίσης τις πληροφορίες της πιστωτικής κάρτας και τα προσωπικά δεδομένα υγείας, προσφέροντας ένα επιπλέον επίπεδο προστασίας“, δήλωσε η Uber.
Δείτε επίσης: Empress EMS: Αποκαλύπτει data breach μετά την επίθεση ransomware
“Ελέγξαμε το codebase μας και δεν διαπιστώσαμε ότι ο εισβολέας έκανε αλλαγές. Επίσης, δεν διαπιστώσαμε ότι ο εισβολέας είχε πρόσβαση σε δεδομένα πελάτη ή χρήστη που ήταν αποθηκευμένα από τους παρόχους cloud μας (π.χ. AWS S3)“.
Ωστόσο, η Uber παραδέχτηκε ότι υπήρξε πρόσβαση σε ορισμένες εμπιστευτικές πληροφορίες, όπως τιμολόγια της εταιρείας από ένα εσωτερικό εργαλείο που χρησιμοποιείται από την οικονομική ομάδα. Επίσης, υπήρξε πρόσβαση και σε αναφορές ευπαθειών που είχαν υποβάλει ερευνητές ασφαλείας μέσω του HackerOne bug bounty προγράμματος (η HackerOne απενεργοποίησε μετά το πρόγραμμα).
Σύμφωνα με το BleepingComputer, ο hacker τον οποίο η Uber συνδέει με την ομάδα Lapsus$, ήταν σε θέση να διεισδύσει σε όλες τις αναφορές ευπαθειών προτού χάσει την πρόσβαση στο πρόγραμμα bug bounty. Αυτό σημαίνει ότι είχε πρόσβαση και σε αναφορές για ευπάθειες που περίμεναν επιδιόρθωση, άρα για ευπάθειες που θέτουν σε κίνδυνο τα συστήματα και τις εφαρμογές της εταιρείας. Ο επιτιθέμενος θα μπορούσε να χρησιμοποιήσει τα στοιχεία για τις ευπάθειες, για να πραγματοποιήσει περεταίρω επιθέσεις ή για να τα πουλήσει σε άλλες εγκληματικές ομάδες.
Τα screenshots με τα δεδομένα της Uber διέρρευσαν από έναν hacker, γνωστό ως “teapots2022“, ο οποίος ισχυρίστηκε επίσης ότι βρίσκεται πίσω από την παραβίαση του στούντιο βιντεοπαιχνιδιών Rockstar Games (με το όνομα “teapotuberhacker”). Ο επιτιθέμενος διέρρευσε βίντεο και screenshots του source code του Grand Theft Auto V και του Grand Theft Auto VI.
Πηγή: www.bleepingcomputer.com