Een onafhankelijke beveiligingsonderzoeker heeft een gedetailleerde tijdlijn gedeeld van gebeurtenissen die plaatsvonden toen de beruchte LAPSUS$-afpersingsbende eind januari 2022 inbrak in een externe provider die verband hield met het cyberincident in Okta.
In een reeks screenshots gepost op Twitter, Bill Demirkapi gepubliceerd een “inbraaktijdlijn” van twee pagina’s die naar verluidt is opgesteld door Mandiant, het cyberbeveiligingsbedrijf dat door Sitel is ingehuurd om de beveiligingsinbreuk te onderzoeken. Sitel is door de overname van Sykes Enterprises in september 2021 de externe serviceprovider die namens Okta klantenondersteuning biedt.
De authenticatiedienstverlener onthulde vorige week dat hij op 20 januari werd gewaarschuwd voor een nieuwe factor die was toegevoegd aan het Okta-account van een Sitel-klantenondersteuningstechnicus, een poging die volgens hem succesvol was en werd geblokkeerd.
Het incident kwam pas twee maanden later aan het licht nadat LAPSUS$ op 22 maart screenshots op hun Telegram-kanaal plaatste als bewijs van de inbreuk.
Het incident, dat de dreigingsactor toegang gaf tot bijna 366 Okta-klanten, vond plaats gedurende een periode van vijf dagen tussen 16 en 21 januari, waarin de hackers verschillende fasen van de aanval uitvoerden, waaronder privilege-escalatie nadat ze een eerste voet aan de grond hadden gekregen, persistentie, zijwaartse beweging en interne verkenning van het netwerk.
Okta beweerde dat het op 21 januari indicatoren van compromis met Sitel had gedeeld en dat het pas op 17 maart een samenvattend rapport over het incident van Sitel ontving.
Vervolgens kreeg de criminele groep op 22 maart, dezelfde dag dat de criminele groep de screenshots deelde, een kopie van het volledige onderzoeksrapport.
“Zelfs toen Okta in maart het Mandiant-rapport ontving waarin de aanval expliciet werd beschreven, bleven ze de duidelijke tekenen dat hun omgeving was geschonden negeren totdat LAPSUS$ hun passiviteit in de schijnwerpers zette”, schreef Demirkapi in een tweet-thread.
Het in San Francisco gevestigde bedrijf erkende in een gedetailleerde FAQ die op 25 maart werd gepost dat het niet om zijn gebruikers op de hoogte te stellen van de inbreuk in januari een “fout” was.
“In het licht van het bewijs dat we de afgelopen week hebben verzameld, is het duidelijk dat we een andere beslissing zouden hebben genomen als we in het bezit waren geweest van alle feiten die we vandaag hebben”, zei Okta. zeitoe te voegen dat “er actiever en krachtiger informatie van Sitel zou moeten worden afgedwongen.”
De ontwikkeling komt op het moment dat de politie van de City of London The Hacker News vorige week vertelde dat zeven mensen die banden hadden met de LAPSUS$-bende werden gearresteerd en vervolgens vrijgelaten in het kader van onderzoek. “Onze onderzoeken blijven aan de gang”, voegde het bureau eraan toe.
