Leon Neal | Getty Resimleri
LastPass, Pazartesi günü kısmen şifrelenmiş oturum açma verilerini bir tehdit aktörünün eline geçiren bir ihlalden yola çıkarak, aynı saldırganın bir çalışanın ev bilgisayarını hacklediğini ve yalnızca bir avuç şirket geliştiricisinin kullanabileceği şifresi çözülmüş bir kasayı ele geçirdiğini söyledi.
LastPass’a yapılan ilk izinsiz giriş 12 Ağustos’ta sona ermiş olsa da, önde gelen şifre yöneticisi ile yetkililer söz konusu Tehdit aktörü, 12 Ağustos’tan 26 Ağustos’a kadar “yeni bir dizi keşif, sayım ve sızma faaliyetinde aktif olarak yer aldı”. Bu süreçte, bilinmeyen tehdit aktörü, kıdemli bir DevOps mühendisinden geçerli kimlik bilgilerini çalmayı ve içeriklere erişmeyi başardı. bir LastPass veri kasasının. Diğer şeylerin yanı sıra kasa, içinde depolanan müşteri kasası yedekleri için şifreleme anahtarlarını içeren paylaşılan bir bulut depolama ortamına erişim sağladı. Amazon S3 klasörleri.
Bir bomba daha düşüyor
LastPass yetkilileri, “Bu, DevOps mühendisinin ev bilgisayarını hedefleyerek ve uzaktan kod yürütme yeteneğini etkinleştiren ve tehdit aktörünün keylogger kötü amaçlı yazılımı yerleştirmesine izin veren savunmasız bir üçüncü taraf medya yazılım paketinden yararlanılarak gerçekleştirildi.” “Tehdit aktörü, çalışan MFA ile kimliğini doğruladıktan sonra, çalışanın ana parolasını girildiği anda yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı.”
Saldırıya uğrayan DevOps mühendisi, şirket kasasına erişimi olan yalnızca dört LastPass çalışanından biriydi. Tehdit aktörü, şifresi çözülmüş kasayı ele geçirdikten sonra, “AWS S3 LastPass üretim yedeklerine, diğer bulut tabanlı depolama kaynaklarına ve bazı ilgili kritik veritabanı yedeklerine erişmek için gereken şifre çözme anahtarları” da dahil olmak üzere girişleri dışa aktardı.
Pazartesi günkü güncelleme, LastPass’in bir güncelleme yayınlamasından iki ay sonra gelir. önceki bomba güncellemesi önceki iddiaların aksine, saldırganların hem şifreli hem de düz metin verileri içeren müşteri kasası verilerini ele geçirdiğini ilk kez söyledi. LastPass daha sonra, tehdit aktörünün ayrıca bir bulut depolama erişim anahtarı ve çift depolama konteyneri şifre çözme anahtarı elde ettiğini ve bunun da müşteri kasası yedekleme verilerinin şifrelenmiş depolama konteynerinden kopyalanmasına izin verdiğini söyledi.
Yedekleme verileri, hem web sitesi URL’leri gibi şifrelenmemiş verileri hem de web sitesi kullanıcı adları ve şifreleri, güvenli notlar ve 256 bit AES kullanan ek bir şifreleme katmanına sahip formla doldurulmuş verileri içeriyordu. Yeni ayrıntılar, tehdit aktörünün S3 şifreleme anahtarlarını nasıl elde ettiğini açıklıyor.
Pazartesi günkü güncelleme, ilk olayda kullanılan taktiklerin, tekniklerin ve prosedürlerin ikinci olayda kullanılanlardan farklı olduğunu ve sonuç olarak, müfettişler için ikisinin doğrudan ilişkili olduğunun başlangıçta net olmadığını söyledi. İkinci olay sırasında, tehdit aktörü, S3 kovalarında depolanan verileri numaralandırmak ve dışarı sızdırmak için birinci olay sırasında elde edilen bilgileri kullandı.
LastPass yetkilileri, “Bu olaylar sırasında uyarı ve günlük kaydı etkinleştirildi, ancak soruşturma sırasında geçmişe bakıldığında daha net hale gelen anormal davranışı hemen göstermedi” diye yazdı. “Özellikle, tehdit aktörü, paylaşılan bir bulut depolama ortamına erişmek için kıdemli bir DevOps mühendisinden çalınan geçerli kimlik bilgilerinden yararlanabildi ve bu, başlangıçta araştırmacıların tehdit aktörü etkinliği ile devam eden yasal etkinlik arasında ayrım yapmasını zorlaştırdı.”
LastPass, ikinci olayı Amazon’un anormal davranış uyarılarından, tehdit aktörü yetkisiz etkinlik gerçekleştirmek için Bulut Kimlik ve Erişim Yönetimi (IAM) rollerini kullanmaya çalıştığında öğrendi.
LastPass’tan alınan özel bir rapor hakkında bilgi alan ve adının açıklanmaması koşuluyla konuşan bir kişiye göre, çalışanın ev bilgisayarında istismar edilen medya yazılım paketi Plex’ti. İlginç bir şekilde, Plex kendi bildirdi ağ girişi 24 Ağustos’ta, ikinci olay başladıktan sadece 12 gün sonra. İhlal, tehdit aktörünün tescilli bir veri tabanına erişmesine ve 30 milyon müşterisinden bazılarına ait şifre verileri, kullanıcı adları ve e-postalarla kaçmasına izin verdi. Plex, kullanıcıların film ve ses akışı yapmasına, oyun oynamasına ve evde veya şirket içi medya sunucularında barındırılan kendi içeriğine erişmesine olanak tanıyan önemli bir medya akış hizmetleri sağlayıcısıdır.
Plex ihlalinin LastPass izinsiz girişleriyle herhangi bir bağlantısı olup olmadığı net değil. LastPass ve Plex temsilcileri, bu hikaye için yorum isteyen e-postalara yanıt vermedi.
LastPass ihlalinin arkasındaki tehdit aktörü, özellikle becerikli olduğunu kanıtladı ve bir çalışanın ev bilgisayarındaki bir yazılım güvenlik açığından başarıyla yararlandığının ortaya çıkması, bu görüşü daha da güçlendiriyor. Ars’ın Aralık ayında tavsiye ettiği gibi, tüm LastPass kullanıcıları ana şifrelerini ve kasalarında saklanan tüm şifreleri değiştirmelidir. Tehdit aktörünün her ikisine de erişimi olup olmadığı net olmasa da önlemlerin alınması gerekiyor.