Pazartesi, Haziran 17, 2024
Ana SayfaTeknoloji HaberleriLastPass, çalışanın ev bilgisayarının saldırıya uğradığını ve şirket kasasının ele geçirildiğini söylüyor

LastPass, çalışanın ev bilgisayarının saldırıya uğradığını ve şirket kasasının ele geçirildiğini söylüyor

LastPass, çalışanın ev bilgisayarının saldırıya uğradığını ve şirket kasasının ele geçirildiğini söylüyor

Leon Neal | Getty Resimleri

LastPass, Pazartesi günü kısmen şifrelenmiş giriş verilerini bir tehdit aktörünün eline geçiren bir ihlalden yola çıkarak, aynı saldırganın bir çalışanın ev bilgisayarını hacklediğini ve yalnızca bir avuç şirket geliştiricisinin kullanabileceği şifresi çözülmüş bir kasayı ele geçirdiğini söyledi.

LastPass’e ilk izinsiz giriş 12 Ağustos’ta sona ermiş olsa da, önde gelen şifre yöneticisiyle görevli yetkililer, tehdit aktörünün 12 Ağustos’tan 26 Ağustos’a kadar “yeni bir dizi keşif, sayım ve hırsızlık faaliyetinde aktif olarak yer aldığını” söyledi. bilinmeyen tehdit aktörü, kıdemli bir DevOps mühendisinden geçerli kimlik bilgilerini çalmayı ve bir LastPass veri kasasının içeriğine erişmeyi başardı. Diğer şeylerin yanı sıra kasa, Amazon S3 klasörlerinde depolanan müşteri kasası yedekleri için şifreleme anahtarlarını içeren paylaşılan bir bulut depolama ortamına erişim sağlıyordu.

Bir bomba daha düşüyor

LastPass yetkilileri, “Bu, DevOps mühendisinin ev bilgisayarını hedefleyerek ve uzaktan kod yürütme yeteneğini etkinleştiren ve tehdit aktörünün keylogger kötü amaçlı yazılımı yerleştirmesine izin veren savunmasız bir üçüncü taraf medya yazılım paketinden yararlanılarak gerçekleştirildi.” “Tehdit aktörü, çalışan MFA ile kimliğini doğruladıktan sonra, çalışanın ana parolasını girildiği anda yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı.”

Saldırıya uğrayan DevOps mühendisi, şirket kasasına erişimi olan yalnızca dört LastPass çalışanından biriydi. Tehdit aktörü, şifresi çözülmüş kasayı ele geçirdikten sonra, “AWS S3 LastPass üretim yedeklerine, diğer bulut tabanlı depolama kaynaklarına ve bazı ilgili kritik veritabanı yedeklerine erişmek için gereken şifre çözme anahtarları” da dahil olmak üzere girişleri dışa aktardı.

Pazartesi günkü güncelleme, LastPass’in önceki iddiaların aksine, saldırganların hem şifreli hem de düz metin verileri içeren müşteri kasası verilerini ele geçirdiğini ilk kez söyleyen bomba gibi bir güncelleme yayınlamasından iki ay sonra geldi. LastPass daha sonra, tehdit aktörünün ayrıca bir bulut depolama erişim anahtarı ve çift depolama konteyneri şifre çözme anahtarı elde ettiğini ve bunun da müşteri kasası yedekleme verilerinin şifrelenmiş depolama konteynerinden kopyalanmasına izin verdiğini söyledi.

Yedekleme verileri, hem web sitesi URL’leri gibi şifrelenmemiş verileri hem de web sitesi kullanıcı adları ve şifreleri, güvenli notlar ve 256 bit AES kullanan ek bir şifreleme katmanına sahip formla doldurulmuş verileri içeriyordu. Yeni ayrıntılar, tehdit aktörünün S3 şifreleme anahtarlarını nasıl elde ettiğini açıklıyor.

Pazartesi günkü güncelleme, ilk olayda kullanılan taktiklerin, tekniklerin ve prosedürlerin ikinci olayda kullanılanlardan farklı olduğunu ve sonuç olarak, müfettişler için ikisinin doğrudan ilişkili olduğunun başlangıçta net olmadığını söyledi. İkinci olay sırasında, tehdit aktörü, S3 klasörlerinde depolanan verileri numaralandırmak ve dışarı sızdırmak için birinci olay sırasında elde edilen bilgileri kullandı.

LastPass yetkilileri, “Bu olaylar sırasında uyarı ve günlük kaydı etkinleştirildi, ancak soruşturma sırasında geçmişe bakıldığında daha net hale gelen anormal davranışı hemen göstermedi” diye yazdı. “Özellikle, tehdit aktörü, paylaşılan bir bulut depolama ortamına erişmek için kıdemli bir DevOps mühendisinden çalınan geçerli kimlik bilgilerinden yararlanabildi ve bu, başlangıçta araştırmacıların tehdit aktörü etkinliği ile devam eden yasal etkinlik arasında ayrım yapmasını zorlaştırdı.”

LastPass, ikinci olayı Amazon’un anormal davranış uyarılarından, tehdit aktörü yetkisiz etkinlik gerçekleştirmek için Bulut Kimlik ve Erişim Yönetimi (IAM) rollerini kullanmaya çalıştığında öğrendi.

LastPass’tan alınan özel bir rapor hakkında bilgi alan ve adının açıklanmaması koşuluyla konuşan bir kişiye göre, çalışanın ev bilgisayarında istismar edilen medya yazılım paketi Plex’ti. İlginç bir şekilde Plex, ikinci olayın başlamasından sadece 12 gün sonra, 24 Ağustos’ta kendi ağa izinsiz giriş yaptığını bildirdi. İhlal, tehdit aktörünün tescilli bir veri tabanına erişmesine ve 30 milyon müşterisinden bazılarına ait şifre verileri, kullanıcı adları ve e-postalarla kaçmasına izin verdi. Plex, kullanıcıların film ve ses akışı yapmasına, oyun oynamasına ve evde veya şirket içi medya sunucularında barındırılan kendi içeriğine erişmesine olanak tanıyan önemli bir medya akış hizmetleri sağlayıcısıdır.

Plex ihlalinin LastPass izinsiz girişleriyle herhangi bir bağlantısı olup olmadığı net değil. LastPass ve Plex temsilcileri, bu hikaye için yorum isteyen e-postalara yanıt vermedi.

LastPass ihlalinin arkasındaki tehdit aktörü, özellikle becerikli olduğunu kanıtladı ve bir çalışanın ev bilgisayarındaki bir yazılım güvenlik açığından başarıyla yararlandığının ortaya çıkması, bu görüşü daha da güçlendiriyor. Ars’ın Aralık ayında tavsiye ettiği gibi, tüm LastPass kullanıcıları ana şifrelerini ve kasalarında saklanan tüm şifreleri değiştirmelidir. Tehdit aktörünün her ikisine de erişimi olup olmadığı net olmasa da önlemlerin alınması gerekiyor.

RELATED ARTICLES

Popüler Konular