O provedor de serviços de autenticação Okta na quarta-feira nomeou Sitel como o terceiro vinculado a um incidente de segurança experimentado pela empresa no final de janeiro que permitiu que a gangue de extorsão LAPSUS$ assumisse remotamente uma conta interna pertencente a um engenheiro de suporte ao cliente.
A empresa acrescentou que 366 clientes corporativos, ou cerca de 2,5% de sua base de clientes, podem ter sido impactados pelo compromisso "altamente restrito".
"Em 20 de janeiro de 2022, a equipe da Okta Security foi alertada de que um novo fator foi adicionado à conta Okta de um engenheiro de suporte ao cliente da Sitel [de um novo local]", disse o diretor de segurança da Okta, David Bradbury, em comunicado. "Este fator foi uma senha."
A divulgação ocorre depois que o LAPSUS$ postou capturas de tela dos aplicativos e sistemas da Okta no início desta semana, cerca de dois meses após os hackers obterem acesso à rede interna da empresa por um período de cinco dias entre 16 e 21 de janeiro de 2022 usando protocolo de desktop remoto ( RDP ) até que a atividade de MFA fosse detectada e a conta fosse suspensa, aguardando investigação adicional.
Embora a empresa inicialmente tenha tentado minimizar o incidente, o grupo LAPSUS$ chamou a empresa de San Francisco pelo que alegou serem mentiras, afirmando "Ainda não tenho certeza de como é uma tentativa malsucedida? ] o portal SuperUser com a capacidade de redefinir a senha e o MFA de ~95% dos clientes não é bem-sucedido?"
Ao contrário de seu nome, o SuperUser, disse Okta, é usado para executar funções básicas de gerenciamento associadas a seus clientes e opera com o princípio de privilégio mínimo ( PoLP ), concedendo ao pessoal de suporte acesso apenas aos recursos pertinentes às suas funções. .
Okta, que enfrentou críticas por sua demora em notificar os clientes sobre o incidente, observou que compartilhou indicadores de comprometimento com a Sitel em 21 de janeiro, que então contratou os serviços de uma empresa forense não identificada que, por sua vez, passou a realizar o investigação e compartilhar suas descobertas em 10 de março de 2022.
De acordo com uma linha do tempo de eventos compartilhada pela empresa, "Okta recebeu um relatório resumido sobre o incidente da Sitel" na semana passada, em 17 de março de 2022.
"Estou muito desapontado com o longo período de tempo que transcorreu entre nossa notificação ao Sitel e a emissão do relatório de investigação completo", disse Bradbury. "Após reflexão, uma vez que recebemos o relatório resumido do Sitel, deveríamos ter agido mais rapidamente para entender suas implicações."
"Se você está confuso sobre Okta dizer que o 'serviço não foi violado', lembre-se de que a declaração é puramente uma sopa de palavras legal", disse a pesquisadora de segurança Runa Sandvik no Twitter. "O fato é que um terceiro foi violado; essa violação afetou a Okta; a não divulgação afetou os clientes da Okta."
As falhas de segurança da Okta e da Microsoft são as mais recentes de uma série de infiltrações organizadas pelo grupo LAPSUS$, que também atingiu vítimas de alto perfil como Impresa, NVIDIA, Samsung, Vodafone e Ubisoft. Também é conhecido por divulgar suas conquistas em um canal ativo do Telegram que conta com mais de 46.200 membros.
A empresa de segurança cibernética Check Point descreveu o LAPSUS$ como um "grupo de hackers português do Brasil", com a Microsoft chamando sua "mistura única de tradecraft" que envolve direcionar suas vítimas com troca de SIM, falhas de servidor não corrigidas, reconhecimento da dark web e phishing baseado em telefone táticas.
"A verdadeira motivação do grupo ainda não está clara, mesmo que afirme ser puramente financeiramente motivada", disse a empresa israelense . "LAPSUS$ tem um forte envolvimento com seus seguidores e até publica pesquisas interativas sobre quem deve ser seu próximo alvo infeliz."
Um jovem de 16 anos atrás de LAPSUS$?
Mas em uma reviravolta interessante, a Bloomberg informou que "um jovem de 16 anos que mora na casa de sua mãe perto de Oxford, Inglaterra" pode ser o cérebro por trás da operação, citando quatro pesquisadores que investigam o grupo. Suspeita-se que outro integrante do LAPSUS$ seja um adolescente residente no Brasil.
Além disso, o suposto hacker adolescente, que atende pelo pseudônimo on-line "White" e "breachbase", também pode ter tido um papel na invasão da fabricante de jogos Electronic Arts (EA) em julho passado, segundo o mais recente especialista em segurança cibernética Brian Krebs. relatório detalhando as atividades de um membro principal do LAPSUS$ apelidado de "Oklaqq" também conhecido como "WhiteDoxbin".
"Em maio de 2021, o ID do Telegram da WhiteDoxbin foi usado para criar uma conta em um serviço baseado em Telegram para lançar ataques distribuídos de negação de serviço (DDoS), onde eles se apresentaram como '@breachbase'", observou Krebs. "As notícias do hack da EA no ano passado foram postadas pela primeira vez no submundo cibercriminoso pelo usuário 'Breachbase' na comunidade de hackers em inglês RaidForums, que foi recentemente apreendida pelo FBI ."
Ref: Hacker News