Uber: Lapsus$ Targeted External Contractor With MFA Bombing Attack

Uber har tillskrivit förra veckans massiva intrång mot Uber till den ökända Lapsus$-hackningsgruppen och släppt ytterligare detaljer om attacken. Forskare säger att incidenten har belyst de risker som kan komma från att lita för mycket på multifaktorautentisering (MFA), såväl som ohanterade risker kring molntjänster.

I en uppdatering på måndagen lade Uber ut tillskrivningen: "Vi tror att denna angripare (eller angripare) är anslutna till en hackningsgrupp som heter Slip$, som har varit allt mer aktiv under det senaste året eller så." Ubers tillkännagivande pekade på andra företag som hade blivit måltavlor av det ökända gänget via liknande tekniker, inklusive Cisco, Microsoft, Nvidia, Okta, och Samsung,

Lapsus$ har väckte stor uppmärksamhet under de senaste månaderna för sina fräcka attacker mot några av världens största och välkända företag. En välkänd taktik som gruppen har varit känd för att använda är att samordna MFA- kringgående verktyg i sin attackkedja.

Och faktiskt, Uber på måndagen sa angriparen som bröt sitt nätverk förra veckan hade först erhållit VPN-uppgifter från en extern entreprenör,
troligen genom att köpa dem på Dark Web. Angriparen försökte sedan upprepade gånger logga in på Uber-kontot med hjälp av de illegalt erhållna referenserna, vilket ledde till en begäran om godkännande av två faktorer varje gång.

Efter att entreprenören initialt blockerat dessa förfrågningar, kontaktade angriparen målet på WhatsApp och utgav sig för att vara teknisk support och sa åt personen att acceptera MFA-uppmaningen – vilket gjorde att angriparen kunde logga in.

"Uber-intrånget verkar vara ett resultat av en MFA-trötthetsattack, även kallad en MFA-bombattack", säger Duncan Greenwood, VD för Xage. "Det är en teknik där hackare skickar flera begäranden om autentiseringsgodkännande till en sekundär enhet som en mobiltelefon, i hopp om att en användare oavsiktligt ger åtkomst, eller blir så frustrerad att de till slut godkänner en begäran."

Saneringsprocessen börjar

Väl in, angriparen brutit mot flera interna system, och Uber är för närvarande i färd med att göra en konsekvensanalys, sa företaget: "Angriparen fick åtkomst till flera andra anställdas konton, vilket i slutändan gav angriparen utökade behörigheter till ett antal verktyg, inklusive G-Suite och Slack."

Företaget sa att angriparen inte verkar ha gjort några ändringar i sin kodbas, och inte heller verkar han ha tillgång till kund- eller användardata som lagras av molnleverantörer. Angriparen verkade ha laddat ner några interna Slack-meddelanden och nått eller laddat ner ett internt verktyg som Ubers finansteam använder för att hantera fakturor. Även om angriparen också fick tillgång till en databas med avslöjanden om sårbarheter i sin plattform som skickats in via externa forskare via HackerOne bug-bounty-programmet, har alla buggar åtgärdats, sa Uber.

Brott visar UD:s svagheter

Greenwood beskriver MFA trötthetsattacker som en mycket effektiv taktik för att bryta mot målorganisationer. Han säger att hans företag har observerat angripare som vanligtvis skickar frekventa MFA-förfrågningar mitt i natten eller skickar mindre frekventa förfrågningar under några dagar.

"Oavsett vilket, i traditionella MFA-arkitekturer är allt som krävs bara en godkänd begäran för en hackare att få tillgång till interna system, från vilken de kan infiltrera målorganisationen ytterligare", säger han.

Ubers säkerhetsrutiner kommer säkerligen att undersökas på grund av intrånget. Men verkligheten är att företaget blev offer för metoder som är gemensamma för många organisationer, konstaterar forskare.

Patrick Tiquet, vice vd för säkerhet och arkitektur på Keeper Security, säger att Uber-attacken belyser en grundläggande missuppfattning kring MFA:s styrka som en metod för att säkra åtkomst.

"Även om MFA lägger till ett kritiskt andra lager av säkerhet till dina konton, är den största missuppfattningen om MFA att alla formulär är lika säkra", säger han.

Ett exempel på hur MFA kan misslyckas är SIM-kortportering, aka SIM-byte, Kortlappar. Det är här angripare porterar ett mobilnummer till ett SIM-kort eller en enhet som de kontrollerar för att ta emot SMS eller telefonsamtal för målnumret.

"Användning av SMS-textmeddelanden som MFA bör avrådas och aldrig användas som MFA för värdefulla tillgångar," säger Tiquet. "Användningen av en autentiseringsapp, säkerhetsnyckel eller biometri är starkare och mer effektiva metoder för att skydda dina konton."

Säkerhetsforskaren Bill Demirkapi förklarar att en annan mycket vanlig missuppfattning är att standardformer av MFA – som push, touch och mobil – skyddar mot social ingenjörskonst. Verkligheten är att MFA förblir sårbart för man-in-the-middle-attacker (MitM), säger han.

Han noterar att bästa praxis inkluderar att använda nätfiske- och MiTM-resistenta former av MFA snarare än tidsbaserade engångslösenord (TOTP), att inte centralisera åtkomstnycklar och att rotera nycklar regelbundet. På den senare punkten begränsar organisationer ofta inte åtkomstnycklar till de minimibehörigheter som krävs för nyckelns avsedda syfte.

"Uber kanske inte har följt bästa praxis, men många andra företag gör det inte heller", säger han. "Huvudpoängen jag skulle vilja köra hem är vikten av att inte bara investera i säkerhet för din organisation, utan också specifikt investera i dessa bästa praxis."

Det bör noteras att Uber-intrånget inte är den enda högprofilerade hiten under de senaste dagarna; samma Lapsus$-hacker som tog på sig ansvaret för den incidenten (eller åtminstone någon som använder samma "Teapot"-alias som Uber-hackern använde) verkar nu också ha brutit mot Take-Two Interactives Rockstar Games, publicerar videor av en tidig utvecklingskopia av Grand Theft Auto 6-spelet. I ett meddelande, företaget erkände överträdelsen och sa att det var "extremt besviket" att ha detaljer om spelet läckt innan det släpps.

Användning av molntjänster ökar risken

MFA är inte den enda svaga länken för många företag. På en högre nivå visar intrång som den hos Uber vilken inverkan som snabba molntjänster och distribuerade arbetsmodeller har på företagssäkerhetsstrategier, säger Russell Spitler, medgrundare och VD för Nudge Security.

Övergången till en mer distribuerad modell har ökat företagens beroende av asynkrona kommunikationsverktyg som Slack och WhatsApp i affärskritiska miljöer, säger han. Det snabba införandet av SaaS har skapat en ohanterad risk i form av komplexa integrationer mellan dåligt hanterade tjänster.

"Det senaste intrånget hos Uber pekar på det faktum att säkerhetsorganisationer överträffas av den vidsträckta komplexiteten hos moderna, distribuerade IT-miljöer och vidsträckta digitala leveranskedjor," noterar Spitler. "Denna komplexitet skapar möjligheter för även de mest nybörjare av hotaktörer att få tillgång genom att använda kompromissade referenser och [hitta] sin väg till kritiska tillgångar."

Generativ dataintelligens

Uber: Lapsus$ riktad extern entreprenör med MFA-bombning

Saneringsprocessen börjar

Brott visar UD:s svagheter

Användning av molntjänster ökar risken

Hur ett estniskt spelbolag tog USA med storm – Tech Startups

Är Reddit säkert? Edward Snowden uppmanar användare att bojkotta Reddit efter nytt ID-krav; "Använd aldrig Reddit igen" - Tech Startups

Senaste intelligens

CompTIA stöder försvarsdepartementets ansträngningar för att stärka cyberkunskaper och -färdigheter

Varför en Waymo självkörande taxi körde fel sida av SF-vägen

5 hårda sanningar om tillståndet för molnsäkerhet 2024

DIG VR känns som en PowerWash-simulator för kraftgrävning

Accelerera ML-arbetsflöden med Amazon SageMaker Studio Local Mode och Docker-stöd | Amazon webbtjänster

3v3 VR Brawler 'Brazen Blaze' får snart nytt öppet betatest på Quest & Steam

Chatta med oss