Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
LastPass: „atakujący zhackowali komputer jednego z naszych pracowników, zainstalowali keyloggera” [nowe szczegóły dotyczące poprzedniego ataku]
Cały czas nie cichną echa afery związanej ze zhackowaniem infrastruktury managera haseł LastPass (więcej o temacie pisaliśmy w tym miejscu).
W ostatniej aktualizacji LastPass zaznacza, że jednym z kluczowych elementów całego dużego hacku infrastruktury było otrzymanie dostępu do komputera jednego z kluczowych pracowników:
hacker zaatakował jednego z czterech inżynierów DevOps, którzy mieli dostęp do kluczy deszyfrujących potrzebnych do uzyskania dostępu storage chmurowego. Osiągnięto to, atakując domowy komputer pracownika i wykorzystując podatne oprogramowanie multimedialne innej firmy (podatność Remote Code Execution). Dzięki temu uruchomiono na komputerze keyloggera. Hacker był w stanie przechwycić hasło główne pracownika podczas jego wpisywania, po uwierzytelnieniu pracownika za pomocą MFA a następnie uzyskać dostęp do korporacyjnego storage LastPass inżyniera DevOps.
the threat actor targeted one of the four DevOps engineers who had access to the decryption keys needed to access the cloud storage service. This was accomplished by targeting the DevOps engineer’s home computer and exploiting a vulnerable third-party media software package, which enabled remote code execution capability and allowed the threat actor to implant keylogger malware. The threat actor was able to capture the employee’s master password as it was entered, after the employee authenticated with MFA, and gain access to the DevOps engineer’s LastPass corporate vault.
Od razu można zadać sobie kilka pytań:
- W jaki sposób namierzono komputer domowy pracownika?
- Jaka dokładnie RCE podatność występowała w „oprogramowaniu multimedialnym”. Może była to podpucha w postaci lewej reklamy w Google? Ale wtedy raczej cieżko mówić o targetowaniu ataku… (w aktualizacji od LastPass jest mowa o tym, że zhackowana osoba była jedną z zaledwie czterech, które miały aż tak rozległy dostęp)
- Fragment z keyloggerem jest dość oczywisty, ale z kolei wątek z MFA (wieloczynnikowym uwierzytelnieniem) już mniej. Stawiamy na to, że po zalogowaniu się do infrastruktury firmowej, atakujący po prostu przejął zalogowaną sesję ofiary (nie ma wtedy potrzeby przełamywać logowania), a przy okazji zdobył jego hasło (keylogger).
W każdym razie atakujący mając dostęp do storage z hasłami pracownika LastPass, uzyskał dostęp do amazonowego storage S3:
The threat actor then exported the native corporate vault entries and content of shared folders, which contained encrypted secure notes with access and decryption keys needed to access the AWS S3 LastPass production backups, other cloud-based storage resources, and some related critical database backups.
Warto zaznaczyć, że atakujący mając dostęp do wspomnianego powyżej S3 mieli dostęp do zaszyfrowanych plików LastPass użytkowników (TLDR: miałeś odpowiednio silne hasło do managera LastPass – najprawdopodobniej atakujący nie uzyskali / nie uzyskają dostępu do Twoich wszystkich haseł).
~ms
Byłem klientem lastpassa. Po atakach zrezygnowałem, poświęciłem kilka dni na reset wszystkich haseł a trochę ich było.
Co ciekawe, w styczniu mijał termin grupowej subskrypcji i obciążyli mi kartę, pomimo rezygnacji i zamknięciu u nich konta. Po mailu na support oddali kasę, ale teoretycznie po usunięciu konta nie powinni mieć już danych do obciążenia. Mam wrażenie, że od czasu kiedy product przejęło LogMeIn to tam jakiśstraszny bałagan się rozpoczął. Podobne doświadczenia mam z GoToMeeting.
Jedno z drugim się nie kłóci. Bo innego usunąć dane klienta z jego konta w usłudze a co innego dalej przetwarzać niektóre dane klienta do celów księgowych , rozliczeniowych itd… Rodo w praktyce ;)
Przed usunięciem konta online usuwam wszystkie dane, które da się usunąć. Może to przesada, ale usunięcie danych typu karta płatnicza, numer telefonu, adres to na pewno dobry pomysł.
Mode computer i telefony poblokowane nie wiem co robic
Obstawiam, ze pracownik ktory nie powinien na domowym kompie miec dostepu zostal zaatakowany zalacznikiem na LinkedIn gdzie zlozono mu jakas lukratywna oferte. Ostatnio dostaje oferty od rekruterow z jakimis randomowymi imionami od razu z zalacznikami w docx. Oczywiscie oferowane zarobki przewyzszaja wartosci rynkowe zeby zachecic to otwarcia pliku.
Najprawdopodobniej nie uzyskali jak jest wystarczająco mocne hasło. Nic nie jest niemożliwe ponoć w ostatnich artykułach pisaliście że LastPass miało własną implementację AES256. Byłoby szkoda jakby ktoś coś źle zaimplementował w tym algorytmie. A szanse na to nie są nikłe. 1 zasada kryptografii: kożystaj z gotowych i sprawdzonych rozwiązań :-)
Korzystaj ze słownika ortograficznego
a moze to jest tak ze w kryptografi stosujemy SWOJE SPRAWDZONE rozwiazania
polecam historie zwiazana z protonmail i jeszcze kilkoma innymi kryptograficznymi historiami
A dla mnie to wszystko wyglada mocno podejrzanie. Nie da sie tego latwo udowodnic, ale nalezaloby zweryfikowac mozliwosc sprzedazy dostepu przez pracownika.
Według Arstechnica tym tajemniczym „oprogramowaniem multimedialnym” mógł być Plex, który też był zhackowany w tym samym czasie.
Myślałem że VLC ;/