A Microsoft megerősítette a Laspsus$ támadást, az Oktánál is történt incidens

 

(Frissítve: 2022.03.24. – Az Okta ügyfelek 2,5%-a érintett a céget ért januári incidensben.)

Az egyre aktívabb Lapsus$ hacker csoport legutóbbi áldozata a Microsoft, a támadást pedig már a tech óriás is megerősítette. A Microsoft fenyegetéselemző csoportja (MSTIC) blogján közölt információkat az ─ általuk DEV-0537-ként nyilvántartott ─ Lapsus$ kollektíva módszereiről, és röviden a forráskódok kiszivárgását eredményező incidensről.

A Microsoft szerint ügyféladatok nem érintettek a támadásban, amelyről ezen kívül csupán annyi plusz információt közölt, hogy enenk során egy korlátozott jogosultsággal rendelkező felhasználói fiók kompromittálódott, a kiszvárgott forráskódok által jelentett biztonsági kockázattal kapcsolatban pedig a cég álláspontja, hogy mivel rendszereik biztonságát nem az alkalmazott kód titkossága biztosítja, a kódok kiszivárgása nem jelent kiemelt kockázatot.

A blogposzt ugyanakkor hosszabban foglalkozik a Lapsus$ által alkalmazott taktikákkal és módszerkkel, például a kezdeti hozzáférés megszerzésével. A csoport az olyan jelszólopó szoftverek, mint a Redline alkalmazása mellett előszeretettel vásárol hozzáféréseket a mélyweben, sőt hirdetést is feladott, amiben kifejezetten a cégek dolgozóit igyekszik megnyerni arra, hogy működjenek közre hitelesítőadatok átadásában vagy a többfaktoros hitelesítés kijátszásában. A Microsoftot ért támadás kapcsán azonban egy másik cég, az identitás management szolgáltatást nyújtó Okta is felmerült, mint lehetséges érintett.

A cég szintén adott ki közleményt, miszerint szolgáltatásaik nem kompromittálódtak, azonban 2022 januárjában valóban történt egy incidens: támadók hozzáfértek a vállalat egy külsős támogató mérnökének laptopjához. Az incidenskivizsgálás során kiderült, hogy Lapsus$ által megosztott, Oktához köthető képernyőfotók, ebből a januári incidensből származnak. Az Okta azt állítja, hogy a külsős támogató mérnökök csak korlátozott hozzáféréssel rendelkeznek, felhasználók hitelesítőadataihoz nem férnek hozzá, azonban ezek resetelésére van lehetőségük. A cég jelezte, hogy a témában további incidenskivizsgálást folytatnak, majd egy újabb posztban már arról írtak, hogy ügyfeleik egy kis része (2,5%) mégis érintett az incidensben. A cég körülbelül 15 000 ügyféllel rendelkezik, így ez a kis érintetti kör is közel 400 vállalatot jelenthet, ráadásul ügyfeleik között olyan óriások is megtalálhatóak, mint az Amazon, az Apple, a Microsoft, az NTT és az McKesson.

Forrás: (thehackernews.com)