Ha sido una semana atareada para el colectivo de piratería y extorsión Lapsus€. Primero filtró lo que, según él, era información de la cuenta de los empleados de LG Electronics, como el código fuente de múltiples productos de Microsoft.
Horas después, el conjunto asimismo publicó capturas que señalaban que habían violado la identidad y la compañía de administración de acceso Okta. La nueva de la posible violación se propagó de manera rápida on-line.
Okta da un servicio de comienzo de sesión único para grandes organizaciones que deja a los empleados empezar sesión en múltiples sistemas sin requerir una clave de acceso diferente para cada uno de ellos. Un hack de Okta podría tener consecuencias potencialmente graves para los clientes del servicio.
la contestación de Okta
Okta emitió una declaración preliminar el martes por la mañana, aseverando que las capturas publicadas por Lapsus€ proceden de "un intento de comprometer la cuenta de un ingeniero de atención al usuario externo que trabaja para uno de nuestros contratistas" que ocurrió en el mes de enero del año vigente.
Una segunda declaración de David Bradley, directivo de seguridad de Okta, dio más detalles sobre el "intento errado" de violar la cuenta del ingeniero de soporte.
Mientras aseguraba a los clientes del servicio que "el servicio Okta no ha sido pirateado y continúa en pleno funcionamiento", asimismo aceptó que una investigación forense halló que "hubo una ventana de tiempo de 5 días entre el dieciseis y el veintiuno de enero de dos mil veintidos, donde un atacante tuvo acceso a un portátil del ingeniero de soporte". Bradley, no obstante, insistió en que "El impacto potencial en los clientes del servicio de Okta se restringe al acceso que tienen los ingenieros de soporte”, señalando en particular que el conjunto de piratas informáticos no puede descargar los datos de los clientes del servicio y no tiene acceso a las claves de acceso.
El estudioso de seguridad independiente Bill Demirkapi dio más detalles a LaComparacion Pro por mail. Explicó que el ingeniero de soporte externo parecía trabajar para SYKES Enterprises, Inc, ahora confirmado por Okta, y que "debido al acceso que tenía este personal de soporte, Lapsus€ pudo violar el Slack interno de Okta, Jira y el backend administrativo". panel de acceso empleado para asistir a los clientes del servicio". Añadió que "ahora, no semeja que Lapsus€ aún tenga acceso al ambiente de Okta".
El martes por la tarde, Lapsus€ respondió a la declaración de Bradley en su canal de Telegram, cuestionando su caracterización del ataque como "fracasado". Lapsus€ asimismo aseveró que Okta guardó claves de AWS en Slack y llamó a la compañía por aguardar tanto. para avisar a sus usuarios del percance de enero.
Bradley ha reconocido desde ese momento que "un pequeño porcentaje de clientes del servicio -alrededor del dos con cinco% - se vieron potencialmente perjudicados" por el percance y es posible que se haya "accedido o procesado" a sus datos, si bien prosigue insistiendo en que "no existe ninguna acción correctiva que nuestros clientes del servicio deban tomar".
En una publicación separada, Bradley presentó una línea de tiempo para el percance y abordó la referencia precedente de Lapsus€ a un portal de "superusuario", descartando las aseveraciones de que le dio al conjunto "acceso divino" a las cuentas de los clientes del servicio. En cambio, Bradley aclaró que SuperUser Portal "es una aplicación desarrollada teniendo presente los privilegios mínimos para asegurar que los ingenieros de soporte solo reciban el acceso concreto que precisan para cumplir con sus funciones".
Okta se ha enfrentado a críticas tanto de Lapsus€ como de la industria de la seguridad por no descubrir ya antes el percance de enero. Como era de aguardar, la filtración puso inquietos a los inversores, lo que provocó que el coste de las acciones de Okta cayese, como la rebaja de calificación de Raymond James Equity Research.
¿Quién es Lapsus€?
A pesar del caos ocasionado por sus miembros esta semana, Lapsus€ es parcialmente nuevo en la escena del cibercrimen. El colectivo de piratas informáticos brotó a fines del año pasado, mas ya ha descifrado a grandes nombres como Microsoft, Nvidia, Samsung y Ubisoft.
El martes, Microsoft publicó un informe sobre Lapsus€, señalando que el conjunto es poco usual al promocionar sus actividades en las redes sociales y reclutar claramente a empleados prestos a darles acceso a las compañías que desean piratear.
Mientras gana los entusiastas on-line de la banda, la presencia en las redes sociales de Lapsus€ asimismo marcha en su menoscabo. Lapsus€ promocionó el ataque a Microsoft en las redes sociales a la medida que se desarrollaba, y Microsoft afirmó que "acentuó nuestra acción dejando que nuestro equipo interviniese e interrumpiese la operación del actor, limitando así un impacto más extenso".
Bloomberg notificó el miércoles que se cree que dos de los miembros de Lapsus€ son adolescentes, uno que vive cerca de Oxford en el R. Unido y el otro en Brasil. El adolescente británico, conocido por los pseudónimos 'White' y 'Breachbase', fue identificado por estudiosos de ciberseguridad a mediados de dos mil veintiuno tras dejar un indicio de información sobre sí mismo on-line. Asimismo ha sido engañado por otros piratas informáticos, que aseveran que tiene prácticamente € catorce millones en criptomonedas.
El jueves, la BBC notificó que 7 personas de entre dieciseis y veintiuno años habían sido detenidas por la policía de la ciudad de Londres con relación a una investigación de Lapsus€, si bien no estaba claro si los adolescentes mentados por Bloomberg formaban una parte de los detenidos. Desde ese momento, los 7 han sido puestos en libertad bajo investigación.
El martes de noche, Lapsus€ anunció que el conjunto "puede estar apacible" por un tiempo, ya que ciertos de sus miembros se van a ir "de vacaciones hasta el 30/03/2022". Aunque la banda prometió "intentar filtrar cosas lo ya antes posible", a la luz de los arrestos recientes, el colectivo puede estar tomando una pausa más larga de lo aguardado.
A pesar de su juventud, los miembros adolescentes de Lapsus€ son exageradamente eficientes. Como apuntó Microsoft, Lapsus€ "entiende la naturaleza interconectada de las identidades y las relaciones de confianza en los ecosistemas tecnológicos modernos y apunta a las telecomunicaciones, la tecnología, los servicios de TI y las compañías de soporte para aprovechar su acceso desde una organización para acceder a organizaciones asociadas o distribuidores".
Cómo pueden resguardarse las compañías
El informe de Microsoft contenía consejos para las compañías sobre de qué forma resguardarse contra los ataques de Lapsus€. El informe apunta que "la autentificación multifactor (MFA) es una de las primordiales líneas de defensa contra" el colectivo de piratas informáticos. Mas asimismo apuntó que los métodos inseguros, como SMS MFA, no son suficientes, ya que Lapsus€ se ha implicado en ataques de intercambio de SIM para acceder a códigos SMS MFA.
Dado que Lapsus€ con frecuencia birla credenciales por medio de la ingeniería social, Microsoft asimismo aconsejó acrecentar la concienciación de los empleados sobre esta clase de ataques. Otras sugerencias incluyeron el uso de "opciones modernas de autentificación" para VPN y asegurar que los canales de comunicación de contestación a incidentes estén "de manera estrecha monitoreados para advertir participantes no autorizados" en el caso de que Lapsus€ intente infiltrarse.
Además, Microsoft ha proporcionado un conjunto de recursos que las compañías pueden utilizar para asistir a "advertir, rastrear y contestar" a los ataques de Slipper€ o conjuntos que imitan de forma afín.