Una new entry sulla scena dei ransomware ha fatto due dichiarazioni forti negli ultimi giorni, pubblicando immagini che sembrano mostrare dati di proprietà che il gruppo dice di aver rubato dati da Microsoft e Okta, un fornitore di single sign-on con 15.000 clienti.
Il gruppo Lapsus$, che è apparso per la prima volta tre mesi fa, ha scritto lunedì sera sul suo canale Telegram che ha ottenuto un accesso privilegiato ad alcuni dei dati proprietari di Okta. L’affermazione, se vera, potrebbe essere grave perché Okta permette a dipendenti di utilizzare un unico account per accedere ai diversi servizi della propria azienda.
“PRIMA CHE LA GENTE INIZI A CHIEDERE: NON ABBIAMO ACCESSO A NESSUN DATABASE DI OKTA”, hanno scritto nel post di Telegram. “La nostra attenzione era SOLO sui clienti Okta”.
Il co-fondatore e CEO di Okta Todd McKinnon ha detto su Twitter che i dati sembrano essere collegati a un hacking avvenuto due mesi fa:
Alla fine di gennaio 2022, Okta ha rilevato un tentativo di compromettere l’account di un ingegnere di supporto clienti di terze parti che lavora per uno dei nostri subprocessori. La questione è stata indagata e contenuta dal subprocessore. Crediamo che gli screenshot condivisi online siano collegati a questo evento di gennaio. Sulla base delle nostre indagini fino ad oggi, non ci sono prove di attività dannose in corso oltre a quelle rilevate a gennaio.
In late January 2022, Okta detected an attempt to compromise the account of a third party customer support engineer working for one of our subprocessors. The matter was investigated and contained by the subprocessor. (1 of 2)
— Todd McKinnon (@toddmckinnon) March 22, 2022
In un post pubblicato successivamente, il Chief Security Officer di Okta David Bradbury ha detto che non c’era stata alcuna violazione del servizio della sua azienda. Il tentativo di compromissione di gennaio a cui fa riferimento nel tweet McKinnon non ha avuto successo. Okta ha tuttavia dato mandato ad una società forense per indagare e recentemente ha ricevuto i risultati.
“Il rapporto ha evidenziato che c’è stata una finestra di tempo di cinque giorni tra il 16-21 gennaio 2022, dove un attaccante ha avuto accesso al computer portatile di un ingegnere di supporto”, scrivono nel post di Okta. “Questo è coerente con gli screenshot di cui siamo venuti a conoscenza ieri”.
Il post continua:
Il potenziale impatto per i clienti Okta è limitato all’accesso degli ingegneri di supporto. Questi tecnici non sono in grado di creare o eliminare utenti o scaricare i database dei clienti. Gli ingegneri di supporto hanno accesso a dati limitati – per esempio, ticket Jira e liste di utenti – che sono stati visti negli screenshot. Gli ingegneri di supporto sono anche in grado di facilitare la reimpostazione delle password e dei fattori MFA per gli utenti, ma non sono in grado di ottenere tali password.
Stiamo continuando attivamente la nostra indagine, compresa l’identificazione e il contatto dei clienti che potrebbero essere stati colpiti. Non c’è alcun impatto sui clienti Auth0 e non c’è alcun impatto sui clienti HIPAA e FedRAMP.
Lapsus$ ha prontamente risposto al post di Okta chiamando le affermazioni in esso contenute “bugie”.
“Non sono ancora sicuro di come sia [un] tentativo non riuscito?”, affermava il post. “L’accesso al portale per superutenti con la possibilità di reimpostare la password e l’MFA del ~95% dei clienti non ha successo?”
Aggiungono: “Il potenziale impatto sui clienti Okta NON è limitato, sono abbastanza certo che resettare password e MFA comporterebbe la completa compromissione dei sistemi di molti clienti.”
Il post di lunedì sera di Lapsus$ era accompagnato da otto screenshot. Uno sembrava mostrare qualcuno loggato in una dashboard “Superuser” appartenente a Cloudflare, una rete di distribuzione di contenuti che utilizza i servizi Okta. Un’altra immagine mostrava quello che sembrava essere un cambio di password per un dipendente di Cloudflare.
Il fondatore e CEO di Cloudflare Matthew Prince ha risposto diverse ore dopo che Okta potrebbe essere stato compromesso, ma, in ogni caso, “Okta è solo un fornitore di identità. Fortunatamente, abbiamo più livelli di sicurezza oltre Okta e non li considereremmo mai un’opzione indipendente”.
In un tweet separato, Prince ha detto che Cloudflare stava reimpostando le credenziali Okta per i dipendenti che hanno cambiato le loro password negli ultimi quattro mesi. “Abbiamo confermato nessuna compromissione”, ha aggiunto. “Okta è un livello di sicurezza. Dato che potrebbero avere un problema, stiamo valutando alternative per quel livello”.
Microsoft
Durante il fine settimana, lo stesso canale Telegram ha pubblicato immagini a sostegno di un’affermazione di Lapsus$ che ha violato i sistemi Microsoft. Il post di Telegram è stato poi rimosso, ma non prima che il ricercatore di sicurezza Dominic Alvieri abbia documentato l’hack su Twitter.
BREAKING
— Dominic Alvieri (@AlvieriD) March 20, 2022
Microsoft allegedly breached.@campuscodi @vxunderground #cybersecurity #infosec @Microsoft pic.twitter.com/FAYl9Y29QT
Lunedì – un giorno dopo che il gruppo ha pubblicato e poi cancellato l’immagine – Lapsus$ ha pubblicato un link BitTorrent a un archivio di file che presumibilmente conteneva il codice sorgente proprietario per Bing, Bing Maps e Cortana, tutti servizi di proprietà di Microsoft. Bleeping Computer, citando ricercatori di sicurezza, ha riferito che il contenuto del download era di 37GB di dimensione e sembrava essere vero codice sorgente Microsoft. Insomma, un leak molto sostanzioso.
Microsoft martedì ha detto solo: “Siamo consapevoli delle dichiarazioni e stiamo indagando”.
Lapsus$ è un threat actor che sembra operare dal Sud America, o forse dal Portogallo, hanno scritto i ricercatori della società di sicurezza Checkpoint. A differenza della maggior parte dei gruppi di ransomware, l’azienda ha detto, Lapsus$ non cripta i dati delle sue vittime. Invece, minaccia di rilasciare i dati pubblicamente a meno che la vittima non paghi un riscatto pesante. Il gruppo, che è apparso per la prima volta a dicembre, ha affermato di aver violato con successo Nvidia, Samsung, Ubisoft e altri.
“I dettagli su come il gruppo sia riuscito a violare gli obiettivi non sono mai stati completamente spiegati”, hanno scritto i ricercatori di Checkpoint in un post di martedì mattina. “Se è vero, la violazione di Okta potrebbe spiegare come Lapsus$ sia stato in grado di raggiungere il suo recente successo”.