30 mar 2022

Publican el timeline del ataque de LAPSUS$ a Okta

Un investigador de seguridad independiente ha publicado un supuesto cronograma detallado de la violación de LAPSUS$ de un proveedor externo de Okta en enero. El informe fue creado por la firma forense que investigó el incidente, identificada como Mandiant (a principios de este mes, Google anunció un acuerdo de 5.400 millones de dólares para adquirirla).

El proveedor de soporte externo, Sitel, contrató a la firma forense cibernética para investigar la violación y el investigador, Bill Demirkapi, dijo que había obtenido copias del informe Mandiant y la publicó la cronología del informe hoy en Twitter

En respuesta a una consulta sobre la publicación de Demirkapi, Okta no cuestionó los documentos. "Somos conscientes de la divulgación pública de lo que parece ser una parte de un informe que preparó Sitel sobre su incidente", dijo Okta en un comunicado proporcionado a VentureBeat el lunes.

El contenido de los documentos es "consistente" con el marco de tiempo de la violación previamente revelado por Okta, señaló la compañía. Mandiant se negó a comentar y no cuestionó los documentos ni su participación en la investigación de la violación de LAPSUS$.

El martes pasado, Okta reveló que el grupo de delincuentes informáticos había accedido a la computadora portátil de un ingeniero de atención al cliente de Sitel del 16 al 21 de enero, lo que le dio al actor de amenazas acceso a hasta 366 clientes de Okta. Okta solo reveló el incidente después de que LAPSUS$ publicara capturas de pantalla en Telegram como evidencia de la violación.

Okta dijo que había recibido un informe resumido sobre el incidente de Sitel el 17 de marzo. En un tuit, Demirkapi dijo que "incluso cuando Okta recibió el informe de Mandiant en marzo que detallaba explícitamente el ataque, continuaron ignorando las señales obvias de que su entorno había sido violado hasta que LAPSUS$ destacó su inacción".

En la declaración Okta dijo que "una vez que recibimos este informe resumido de Sitel el 17 de marzo, deberíamos habernos movido más rápido para comprender sus implicaciones. Estamos decididos a aprender y mejorar después de este incidente".

La supuesta línea de tiempo de Mandiant comienza el 16 de enero, con el compromiso inicial de Sitel. Eso contrasta con la línea de tiempo proporcionada por Okta, que comienza el 20 de enero y no incluye ningún detalle sobre lo que sucedió antes de ese momento. LAPSUS$ no comenzó a investigar el sistema comprometido hasta el 19 de enero, según el cronograma publicado por Demirkapi.

Ese día, el actor de amenazas hizo una búsqueda en Bing de herramientas de escalada de privilegios en GitHub, dice la supuesta línea de tiempo de Mandiant. "Con poca consideración por OPSEC, LAPSUS$ buscó un bypass CVE-2021-34484 en su host comprometido y descargó la versión preconstruida de GitHub", dijo Demirkapi en un tuit.

El actor de amenazas "pasó por alto el agente de punto final de FireEye simplemente deteniendolo", luego "simplemente descargó la versión oficial de Mimikatz (una popular utilidad de volcado de credenciales) directamente desde su repositorio".

El atacante creó usuarios de puerta trasera dentro del entorno de Sitel y "finalizó su ataque creando una 'regla de transporte de correo electrónico' maliciosa para reenviar todo el correo dentro del entorno de Sitel a sus propias cuentas. El atacante utilizó un archivo XLS con contraseñas"

Una pregunta importante para Okta es: "Sabía que la máquina de uno de sus miembros de atención al cliente se vio comprometida en enero. ¿Por qué no lo investigaste? Tener la capacidad de detectar un ataque es inútil si no estás dispuesto a responder", dijo Demirkapi.

"Cometimos un error" [OKTA]

El viernes, Okta emitió una disculpa por su manejo de la infracción de enero. El proveedor de seguridad de identidad "cometió un error en su respuesta al incidente, y debería haber obtenido información más activa y enérgicamente" sobre lo que ocurrió en la violación, dijo la compañía.

La disculpa siguió a un debate en la comunidad de ciberseguridad sobre la falta de divulgación de Okta sobre el incidente de dos meses. La declaración de Okta del viernes no llegó a decir que la compañía cree que debería haber revelado lo que sabía antes.

Sin embargo, Okta ha dicho que los ingenieros de soporte de Sitel tienen acceso "limitado" y que los ingenieros de soporte de terceros no pueden crear usuarios, eliminar usuarios o descargar bases de datos que pertenecen a los clientes.

"Confiamos en nuestras conclusiones de que el servicio de Okta no ha sido violado y que nuestros clientes no deben tomar medidas correctivas", dijo Okta el viernes. "Confiamos en esta conclusión porque Sitel (y, por lo tanto, el actor de amenazas que solo tenía el acceso que tenía Sitel) no pudo crear o eliminar usuarios, ni descargar bases de datos de clientes".

Fuente: VentureBeat

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!