Tvrtka za autentifikaciju Okta kontaktirala je svih 366 kupaca na koje bi moglo utjecati nedavno kršenje. Grupa Lapsus$ imala je pristup računalu inženjera podrške pet dana u siječnju.
Dana 22. ožujka, Lapsus$ je podijelio brojne snimke zaslona za koje se činilo da se odnose na Oktin interni sustav. Prema Okti, snimke zaslona snimljene su s računala koje su koristili inženjeri podrške Sitela treće strane za kupce Okte. Sitel je Okta podprocesor koji Okti osigurava ugovorne radnike za organizaciju korisničke podrške.
"Dijeljenje ovih snimaka zaslona je neugodno za mene i cijeli Okta tim", rekao je glavni službenik za sigurnost Okte David Bradbury.
LAPSUS$ extortion group claims to have breached @Okta. They have released 8 photos as proof.
— vx-underground (@vxunderground) March 22, 2022
The photos we are sharing has been edited so no sensitive information or user identities are displayed.
Image 1 - 4 attached below. pic.twitter.com/nR8V56dLu2
Lapsus$ je imao pristup računalu inženjera u razdoblju od pet dana između 16. i 21. siječnja 2022.
“Ovdje je scenarij analogan. Odlaskom od vašeg računala, npr. u kafiću, pri čemu je stranac sjeo za vaše računalo i koristio miš i tipkovnicu. Dakle, iako napadač nikada nije dobio pristup usluzi Okta putem preuzimanja računala, kompromitiran je stroj koji je bio prijavljen na Oktu”, rekao je Bradbury.
Lapsus$ je uspio dobiti snimke zaslona i kontrolirati stroj kroz sesiju protokola udaljene radne površine (RDP).
Dugo smo i tvrdo razgovarali o rizicima RDP-a, pri čemu iskorištavanje osjetljivih udaljenih usluga predstavlja jedan od najčešćih početnih pristupa koji koriste i cyberkriminalci i skupine prijetnji povezanih s nacionalnim državama
rekao je viši analitičar Cyber Threat Intelligence, Chris Morgan .
Aplikaciju "superkorisnika" koja se vidi na snimkama zaslona koristilo je osoblje podrške za rješavanje većine upita. Nije to bila administratorska ili superkorisnička razina pristupa Oktinoj organizaciji.
Okta je rekao da je postojao vremenski okvir od pet dana kada je akter prijetnje imao pristup okruženju Sitela. Utvrđeno je da je maksimalni potencijalni utjecaj 366 (otprilike 2,5%) korisnika čijem je zakupcu Okta pristupio Sitel.
U međuvremenu, Lapsus$ je sugerirao da su zadržali pristup dva mjeseca nakon 21. siječnja 2022.
Sudionici kibernetičkog kriminala često provode PR vježbe kako bi pojačali svoje tvrdnje. Što se tiče Lapsus$, to je istaknuto u nekoliko početnih postova grupe u kojima se navodi: “Bili ste žrtva napada ransomware-a" .
rekao je Morgan
Digital Shadows je naglasio da su mnogi istraživači Lapsus$ uključili u spektar aktivnosti ransomwarea. Međutim, Digital Shadows nije primijetio nikakav ransomware korišten u incidentima Lapsus$.
Prvi prijedlozi ove vrste zlonamjernog softvera vjerojatno su dani kako bi se povećao strah i pritisak na ciljane organizacije. S Oktom je realno moguće da je Lapsus$ preuveličao opseg pristupa kako bi ojačao svoje tvrdnje ili na drugi način poboljšao svoj ugled
rekao je Morgan.
Prema nedavnom izvješću Bloomberga , četiri istraživača koji istražuju Lapsus$ su pratili napade do 16-godišnjaka koji živi u kući svoje majke blizu Oxforda u Engleskoj. Sumnja se da je još jedan član Lapsus$ tinejdžer koji živi u Brazilu.
