Lapsus$ je preuveličao razmjere pristupa Okti

Lapsus$ je preuveličao razmjere pristupa Okti

Tvrtka za autentifikaciju Okta kontaktirala je svih 366 kupaca na koje bi moglo utjecati nedavno kršenje. Grupa Lapsus$ imala je pristup računalu inženjera podrške pet dana u siječnju.

Dana 22. ožujka, Lapsus$ je podijelio brojne snimke zaslona za koje se činilo da se odnose na Oktin interni sustav. Prema Okti, snimke zaslona snimljene su s računala koje su koristili inženjeri podrške Sitela treće strane za kupce Okte. Sitel je Okta podprocesor koji Okti osigurava ugovorne radnike za organizaciju korisničke podrške.

"Dijeljenje ovih snimaka zaslona je neugodno za mene i cijeli Okta tim", rekao je glavni službenik za sigurnost Okte David Bradbury.

 

Lapsus$ je imao pristup računalu inženjera u razdoblju od pet dana između 16. i 21. siječnja 2022.

“Ovdje je scenarij analogan. Odlaskom od vašeg računala, npr. u kafiću, pri čemu je stranac sjeo za vaše računalo i koristio miš i tipkovnicu. Dakle, iako napadač nikada nije dobio pristup usluzi Okta putem preuzimanja računala, kompromitiran je stroj koji je bio prijavljen na Oktu”, rekao je Bradbury.

Lapsus$ je uspio dobiti snimke zaslona i kontrolirati stroj kroz sesiju protokola udaljene radne površine (RDP).

Dugo smo i tvrdo razgovarali o rizicima RDP-a, pri čemu iskorištavanje osjetljivih udaljenih usluga predstavlja jedan od najčešćih početnih pristupa koji koriste i cyberkriminalci i skupine prijetnji povezanih s nacionalnim državama

rekao je viši analitičar Cyber ​​Threat Intelligence, Chris Morgan .

Aplikaciju "superkorisnika" koja se vidi na snimkama zaslona koristilo je osoblje podrške za rješavanje većine upita. Nije to bila administratorska ili superkorisnička razina pristupa Oktinoj organizaciji.

Okta je rekao da je postojao vremenski okvir od pet dana kada je akter prijetnje imao pristup okruženju Sitela. Utvrđeno je da je maksimalni potencijalni utjecaj 366 (otprilike 2,5%) korisnika čijem je zakupcu Okta pristupio Sitel.

U međuvremenu, Lapsus$ je sugerirao da su zadržali pristup dva mjeseca nakon 21. siječnja 2022.

Sudionici kibernetičkog kriminala često provode PR vježbe kako bi pojačali svoje tvrdnje. Što se tiče Lapsus$, to je istaknuto u nekoliko početnih postova grupe u kojima se navodi: “Bili ste žrtva napada ransomware-a" .

rekao je Morgan

Digital Shadows je naglasio da su mnogi istraživači Lapsus$ uključili u spektar aktivnosti ransomwarea. Međutim, Digital Shadows nije primijetio nikakav ransomware korišten u incidentima Lapsus$.

Prvi prijedlozi ove vrste zlonamjernog softvera vjerojatno su dani kako bi se povećao strah i pritisak na ciljane organizacije. S Oktom je realno moguće da je Lapsus$ preuveličao opseg pristupa kako bi ojačao svoje tvrdnje ili na drugi način poboljšao svoj ugled

rekao je Morgan.

Prema nedavnom izvješću Bloomberga , četiri istraživača koji istražuju Lapsus$ su pratili napade do 16-godišnjaka koji živi u kući svoje majke blizu Oxforda u Engleskoj. Sumnja se da je još jedan član Lapsus$ tinejdžer koji živi u Brazilu.

Danas je sjedište tvrtke Emsisoft na Novom Zelandu, ali održava globalnu prisutnost putem lokalnih timova u svim vremenskim zonama. Zlonamjerni softver ne spava, a ni mi.

Korisni linkovi

Pratite nas