Onderzoekers traceren LAPSUS$-cyberaanvallen op 16-jarige hacker uit Engeland

Des chercheurs retracent les cyberattaques LAPSUS$ à un pirate anglais de 16 ans Nachrichten

Authenticatieserviceprovider Okta noemde Sitel woensdag als de derde partij die verband houdt met een beveiligingsincident dat het bedrijf eind januari ondervond, waardoor de LAPSUS$-afpersingsbende op afstand een intern account van een klantenservicemedewerker kon overnemen.

Het bedrijf voegde eraan toe dat 366 zakelijke klanten, of ongeveer 2,5% van zijn klantenbestand, mogelijk zijn getroffen door het „zeer beperkte“ compromis.

„Op 20 januari 2022 werd het Okta Security-team gewaarschuwd dat er een nieuwe factor was toegevoegd aan het Okta-account van een Sitel-klantenondersteuningstechnicus [from a new location],“ Okta’s Chief Security Officer, David Bradbury, zei in een verklaring. „Deze factor was een wachtwoord.“

De onthulling komt nadat LAPSUS$ eerder deze week screenshots van Okta’s apps en systemen plaatste, ongeveer twee maanden nadat de hackers toegang kregen tot het interne netwerk van het bedrijf gedurende een periode van vijf dagen tussen 16 en 21 januari 2022 met behulp van het remote desktop-protocol (RDP) totdat de MFA-activiteit werd gedetecteerd en het account werd opgeschort in afwachting van verder onderzoek.

Hoewel het bedrijf aanvankelijk probeerde het incident te bagatelliseren, riep de LAPSUS$-groep het in San Francisco gevestigde bedrijf uit voor wat het beweerde leugens waren, met de mededeling: „Ik weet NOG STEEDS niet hoe het een [sic] mislukte poging? Aangemeld bij [sic] de SuperUser-portal met de mogelijkheid om het wachtwoord en de MFA van ~95% van de klanten opnieuw in te stellen, is niet gelukt?“

In tegenstelling tot zijn naam, wordt SuperUser, zei Okta, gebruikt om basisbeheerfuncties uit te voeren die verband houden met zijn klanthuurders en werkt het met het principe van de minste bevoegdheden (PoLP) in het achterhoofd, ondersteunend personeel toegang verlenen tot alleen die middelen die relevant zijn voor hun rol.

Okta, dat kritiek kreeg vanwege de vertraging bij het informeren van klanten over het incident, merkte op dat het op 21 januari indicatoren van compromis deelde met Sitel, die vervolgens de diensten inschakelde van een niet nader genoemd forensisch bedrijf dat op zijn beurt de onderzoek en deel zijn bevindingen op 10 maart 2022.

Volgens een tijdlijn van gebeurtenissen die door het bedrijf zijn gedeeld, ontving Okta vorige week op 17 maart 2022 een samenvattend rapport over het incident van Sitel.

„Ik ben enorm teleurgesteld over de lange tijd die is verstreken tussen onze kennisgeving aan Sitel en de publicatie van het volledige onderzoeksrapport“, zei Bradbury. „Bij nader inzien hadden we, toen we het samenvattingsrapport van Sitel hadden ontvangen, sneller moeten handelen om de implicaties ervan te begrijpen.“

„Als je in de war bent over Okta die zegt dat de ’service niet is geschonden‘, onthoud dan dat de verklaring puur een juridische woordsoep is“, beveiligingsonderzoeker Runa Sandvik zei op Twitter. „Feit is dat er een inbreuk is gepleegd op een derde partij; die inbreuk heeft Okta getroffen; het niet bekendmaken ervan heeft gevolgen gehad voor de klanten van Okta.“

Een 16-jarige achter LAPSUS$?

De beveiligingsinbreuken van Okta en Microsoft zijn de laatste in een reeks infiltraties die zijn georganiseerd door de LAPSUS$-groep, die ook spraakmakende slachtoffers zoals Impresa, NVIDIA, Samsung, Vodafone en Ubisoft heeft getroffen. Het staat ook bekend om het publiceren van zijn veroveringen op een actief Telegram-kanaal met meer dan 46.200 leden.

Cyberbeveiligingsbedrijf Check Point beschreef LAPSUS$ als een „Portugese hackgroep uit Brazilië“, waarbij Microsoft zijn „unieke mix van ambacht“ noemde, waarbij zijn slachtoffers worden getarget met sim-swapping, niet-gepatchte serverfouten, dark web-verkenning en phishing via de telefoon tactiek.

„De echte motivatie van de groep is echter nog steeds onduidelijk, ook al beweert het puur financieel gemotiveerd te zijn“, zegt het Israëlische bedrijf zei. „LAPSUS$ heeft een sterke betrokkenheid bij hun volgers en plaatst zelfs interactieve peilingen over wie hun volgende ongelukkige doelwit zou moeten zijn.“

Maar in een interessante draai, Bloomberg gemeld dat „een 16-jarige die in het huis van zijn moeder in de buurt van Oxford, Engeland woont“, het brein achter de operatie zou kunnen zijn, daarbij verwijzend naar vier onderzoekers die de groep onderzochten. Een ander lid van LAPSUS$ wordt ervan verdacht een tiener te zijn die in Brazilië woont.

Bovendien heeft de vermeende tienerhacker, die de online alias ‚White‘ en ‚breachbase‘ gebruikt, mogelijk ook een rol gespeeld bij de inbraak bij gamemaker Electronic Arts (EA) afgelopen juli, volgens cyberbeveiligingsexpert Brian Krebs. laatste verslag met details over de activiteiten van een kernlid van LAPSUS$ met de bijnaam „Oklaqq“ oftewel „WhiteDoxbin“.

„In mei 2021 werd de Telegram-ID van WhiteDoxbin gebruikt om een ​​account aan te maken op een op Telegram gebaseerde service voor het lanceren van gedistribueerde denial-of-service (DDoS) -aanvallen, waarbij ze zichzelf voorstelden als ‚@breachbase'“, merkte Krebs op. „Nieuws over de hack van EA vorig jaar werd voor het eerst gepost in de cybercriminele underground door de gebruiker ‚Breachbase‘ op de Engelstalige hackergemeenschap RaidForums, die werd onlangs in beslag genomen door de FBI.“

David
Rate author
Hackarizona