LastPass: „atakujący zhackowali komputer jednego z naszych pracowników, zainstalowali keyloggera” [nowe szczegóły dotyczące poprzedniego ataku]

Cały czas nie cichną echa afery związanej ze zhackowaniem infrastruktury managera haseł LastPass (więcej o temacie pisaliśmy w tym miejscu).

W ostatniej aktualizacji LastPass zaznacza, że jednym z kluczowych elementów całego dużego hacku infrastruktury było otrzymanie dostępu do komputera jednego z kluczowych pracowników:

hacker zaatakował jednego z czterech inżynierów DevOps, którzy mieli dostęp do kluczy deszyfrujących potrzebnych do uzyskania dostępu storage chmurowego. Osiągnięto to, atakując domowy komputer pracownika i wykorzystując podatne oprogramowanie multimedialne innej firmy (podatność Remote Code Execution). Dzięki temu uruchomiono na komputerze keyloggera. Hacker był w stanie przechwycić hasło główne pracownika podczas jego wpisywania, po uwierzytelnieniu pracownika za pomocą MFA a następnie uzyskać dostęp do korporacyjnego storage LastPass inżyniera DevOps.

the threat actor targeted one of the four DevOps engineers who had access to the decryption keys needed to access the cloud storage service. This was accomplished by targeting the DevOps engineer’s home computer and exploiting a vulnerable third-party media software package, which enabled remote code execution capability and allowed the threat actor to implant keylogger malware. The threat actor was able to capture the employee’s master password as it was entered, after the employee authenticated with MFA, and gain access to the DevOps engineer’s LastPass corporate vault.

Od razu można zadać sobie kilka pytań:

• W jaki sposób namierzono komputer domowy pracownika?
• Jaka dokładnie RCE podatność występowała w „oprogramowaniu multimedialnym”. Może była to podpucha w postaci lewej reklamy w Google? Ale wtedy raczej cieżko mówić o targetowaniu ataku… (w aktualizacji od LastPass jest mowa o tym, że zhackowana osoba była jedną z zaledwie czterech, które miały aż tak rozległy dostęp)
• Fragment z keyloggerem jest dość oczywisty, ale z kolei wątek z MFA (wieloczynnikowym uwierzytelnieniem) już mniej. Stawiamy na to, że po zalogowaniu się do infrastruktury firmowej, atakujący po prostu przejął zalogowaną sesję ofiary (nie ma wtedy potrzeby przełamywać logowania), a przy okazji zdobył jego hasło (keylogger).

W każdym razie atakujący mając dostęp do storage z hasłami pracownika LastPass, uzyskał dostęp do amazonowego storage S3:

The threat actor then exported the native corporate vault entries and content of shared folders, which contained encrypted secure notes with access and decryption keys needed to access the AWS S3 LastPass production backups, other cloud-based storage resources, and some related critical database backups.

Warto zaznaczyć, że atakujący mając dostęp do wspomnianego powyżej S3 mieli dostęp do zaszyfrowanych plików LastPass użytkowników (TLDR: miałeś odpowiednio silne hasło do managera LastPass – najprawdopodobniej atakujący nie uzyskali / nie uzyskają dostępu do Twoich wszystkich haseł).

~ms