Die Lapsus$-Hacker verwendeten kompromittierte Zugangsdaten, um im Januar in das Netzwerk des Kundenservice-Riesen Sitel einzubrechen, Tage bevor sie anschließend auf die internen Systeme des Authentifizierungsriesen Okta zugegriffen haben, wie aus Dokumenten hervorgeht, die Tech eingesehen hat und die neue Details des Cyber-Einbruchs liefern, die noch nicht vorhanden sind gemeldet worden.
Kunden erfuhren erst am 22. März von Oktas Sicherheitsverletzung im Januar, nachdem die Lapsus$-Hackergruppe Screenshots veröffentlicht hatte, aus denen hervorgeht, dass sie etwa zwei Monate zuvor auf die internen Apps und Systeme von Okta zugegriffen hatte. Okta räumte den Kompromiss ein ein Blogbeitragund später bestätigt, dass 366 seiner Firmenkunden von der Verletzung betroffen sind, oder etwa 2,5 % seines Kundenstamms.
Die Dokumente bieten die bisher detaillierteste Darstellung der Sitel-Kompromittierung, die es den Hackern ermöglichte, später Zugriff auf das Netzwerk von Okta zu erhalten.
Okta wird von Tausenden von Organisationen und Regierungen weltweit als Single-Sign-On-Anbieter verwendet, der es Mitarbeitern ermöglicht, sicher auf die internen Systeme eines Unternehmens wie E-Mail-Konten, Anwendungen, Datenbanken und mehr zuzugreifen.
Die Dokumente, erhalten von unabhängigen Sicherheitsforschern Bill Demirkapi und mit Tech geteilt, enthalten eine Sitel-Kundenmitteilung, die am 25. Januar gesendet wurde – mehr als eine Woche, nachdem Hacker das erste Mal sein Netzwerk kompromittiert hatten – und eine detaillierte Zeitleiste des Sitel-Einbruchs, die von der Incident-Response-Firma Mandiant vom 17. März zusammengestellt und mit Okta geteilt wurde.
Den Dokumenten zufolge sagte Sitel, es habe den Sicherheitsvorfall in seinen VPN-Gateways in einem Legacy-Netzwerk entdeckt, das Sykes gehört, einem Kundendienstunternehmen, das für Okta arbeitet und das Sitel 2021 übernommen hat. VPNs oder virtuelle private Netzwerke sind oft ein Ziel für Angreifer da sie für den Fernzugriff auf das Netzwerk eines Unternehmens ausgenutzt werden können.
Die Zeitachse zeigt detailliert, wie die Angreifer Fernzugriffsdienste und öffentlich zugängliche Hacking-Tools nutzten, um das Netzwerk von Sitel zu kompromittieren und zu navigieren, wodurch sie in den fünf Tagen, in denen Lapsus$ Zugriff hatte, einen tieferen Einblick in das Netzwerk erlangten. Sitel sagte, dass seine Azure-Cloud-Infrastruktur ebenfalls von Hackern kompromittiert wurde.
Laut der Zeitleiste griffen die Hacker am frühen 21. Januar auf eine Tabelle im internen Netzwerk von Sitel mit dem Namen „DomAdmins-LastPass.xlsx“ zu. Der Dateiname deutet darauf hin, dass die Tabelle Passwörter für Domänenadministratorkonten enthielt, die aus dem LastPass-Passwortmanager eines Sitel-Mitarbeiters exportiert wurden.
Etwa fünf Stunden später erstellten die Hacker ein neues Sykes-Benutzerkonto und fügten das Konto einer Benutzergruppe namens „Mandantenadministratoren“ hinzu, die breiten Zugriff auf die Organisation haben, um wahrscheinlich ein „Hintertür“-Konto für das Netzwerk von Sitel zu erstellen, das die Hacker könnten verwenden, wenn sie später entdeckt und ausgesperrt wurden. Die Hacker von Lapsus$ kompromittierten etwa zur gleichen Zeit das Netzwerk von Okta Oktas Zeitleiste von Veranstaltungen.
Die Zeitleiste zeigt, dass die Hacker zuletzt am 21. Januar um 14:00 Uhr (UTC) auf das Sitel-Netzwerk zugegriffen haben, etwa 14 Stunden nach dem Zugriff auf die Tabelle mit Passwörtern. Sitel hat ein unternehmensweites Passwort-Reset herausgegeben, um zu versuchen, die Angreifer auszusperren.
Okta wurde kritisiert, weil es die Kunden nach Erhalt des Berichts von Mandiant vom 17. März nicht früher vor der Verletzung von Sitel gewarnt hatte. David Bradbury, Chief Security Officer von Okta, sagte, das Unternehmen „hätte schneller handeln sollen, um die Auswirkungen zu verstehen“.
Okta war nicht in der Lage, sich zu äußern, als es vor der Veröffentlichung erreicht wurde. Sitel und Mandiant bestritten den Inhalt der Berichte nicht, wollten sich aber nicht äußern.
Okta ist nur eines von mehreren namhaften Unternehmen, die in den letzten Monaten von der Hacker- und Erpressergruppe Lapsus$ ins Visier genommen wurden. Die Lapsus$-Gruppe tauchte erstmals im Dezember in der Hacking-Szene auf, nachdem sie das brasilianische Gesundheitsministerium bei einem Cyberangriff angegriffen hatte, bei dem 50 Terabyte an Daten gestohlen wurden, darunter Impfinformationen von Bürgern. Seitdem hat die Bande gezielt mehrere portugiesischsprachige Unternehmen, sowie Big-Tech-Giganten wie Samsung, Nvidia, Microsoft und Okta, die den Zehntausenden von Abonnenten ihres Telegram-Kanals für ihren Zugriff und ihre gestohlenen Daten werben, während sie oft ungewöhnliche Forderungen stellen, um die gestohlenen Dateien ihrer Opfer nicht zu veröffentlichen.
Die britische Polizei sagte letzte Woche, sie habe sieben Personen im Alter zwischen 16 und 21 Jahren festgenommen, die mit den Vorfällen in Verbindung stehen.
Wenn Sie mehr über die Verletzung wissen oder bei Okta oder Sitel arbeiten, wenden Sie sich unter +1 646-755-8849 oder per E-Mail an [email protected] an den Sicherheitsdesk von Signal.