Η LastPass, της οποία η αξιοπιστία ήταν ήδη πληγωμένη από μια παραβίαση που έθεσε μερικώς κρυπτογραφημένα δεδομένα σύνδεσης στα χέρια κακόβουλων χρηστών, δήλωσε τη Δευτέρα ότι οι ίδιοι κακόβουλοι χρήστες παραβίασαν τον οικιακό υπολογιστή ενός υπαλλήλου και απέκτησαν ένα αποκρυπτογραφημένο θησαυροφυλάκιο που ήταν διαθέσιμο μόνο σε λίγους developers της εταιρείας.
Παρόλο που η αρχική εισβολή στην LastPass έληξε στις 12 Αυγούστου, οι υπάλληλοι του κορυφαίου διαχειριστή κωδικών πρόσβασης δήλωσαν ότι ο δράστης απειλής "συμμετείχε ενεργά σε μια νέα σειρά δραστηριοτήτων αναγνώρισης, απαρίθμησης και διαρροής" από τις 12 έως τις 26 Αυγούστου. Κατά τη διαδικασία, ο άγνωστος δράστης απειλής κατάφερε να κλέψει έγκυρα διαπιστευτήρια από έναν ανώτερο μηχανικό DevOps και να αποκτήσει πρόσβαση στο περιεχόμενο ενός θησαυροφυλακίου δεδομένων της LastPass. Μεταξύ άλλων, το θησαυροφυλάκιο έδινε πρόσβαση σε ένα κοινόχρηστο περιβάλλον αποθήκευσης στο cloud που περιείχε τα κλειδιά κρυπτογράφησης για τα αντίγραφα ασφαλείας του θησαυροφυλακίου πελατών που ήταν αποθηκευμένα σε κάδους Amazon S3.
"Αυτό επιτεύχθηκε με τη στόχευση του οικιακού υπολογιστή του μηχανικού DevOps και την εκμετάλλευση ενός ευάλωτου πακέτου λογισμικού πολυμέσων τρίτου μέρους, το οποίο επέτρεψε τη δυνατότητα απομακρυσμένης εκτέλεσης κώδικα και επέτρεψε στον δράστη της απειλής να εμφυτεύσει κακόβουλο λογισμικό keylogger", έγραψαν οι υπεύθυνοι της LastPass. "Ο δράστης της απειλής ήταν σε θέση να καταγράψει τον κύριο κωδικό πρόσβασης του υπαλλήλου κατά την εισαγωγή του, αφού ο υπάλληλος πιστοποιήθηκε με MFA, και να αποκτήσει πρόσβαση στο εταιρικό θησαυροφυλάκιο LastPass του μηχανικού DevOps".
Ο παραβιασμένος λογαριασμός του μηχανικού DevOps ήταν ένας από τους τέσσερις μόνο υπαλλήλους της LastPass με πρόσβαση στο εταιρικό θησαυροφυλάκιο. Μόλις κατέλαβε το αποκρυπτογραφημένο θησαυροφυλάκιο, ο δράστης της απειλής εξήγαγε τις καταχωρήσεις, συμπεριλαμβανομένων των "κλειδιών αποκρυπτογράφησης που απαιτούνται για την πρόσβαση στα αντίγραφα ασφαλείας παραγωγής AWS S3 LastPass, σε άλλους πόρους αποθήκευσης που βασίζονται στο cloud και σε ορισμένα σχετικά κρίσιμα αντίγραφα ασφαλείας βάσεων δεδομένων".
Η ενημέρωση της Δευτέρας έρχεται δύο μήνες μετά την προηγούμενη ενημέρωση-βόμβα της LastPass, η οποία για πρώτη φορά ανέφερε ότι, σε αντίθεση με τους προηγούμενους ισχυρισμούς, οι επιτιθέμενοι απέκτησαν δεδομένα του θησαυροφυλακίου πελατών που περιείχαν τόσο κρυπτογραφημένα όσο και δεδομένα απλού κειμένου. Η LastPass ανέφερε τότε ότι ο δράστης της απειλής είχε επίσης αποκτήσει ένα κλειδί πρόσβασης στο cloud storage και δύο κλειδιά αποκρυπτογράφησης του storage container, επιτρέποντας την αντιγραφή των δεδομένων αντιγράφων ασφαλείας του θησαυροφυλακίου πελατών από το κρυπτογραφημένο storage container.
Τα δεδομένα αντιγράφων ασφαλείας περιείχαν τόσο μη κρυπτογραφημένα δεδομένα, όπως διευθύνσεις URL ιστοτόπων, όσο και ονόματα χρηστών και κωδικούς πρόσβασης ιστοτόπων, ασφαλείς σημειώσεις και δεδομένα που είχαν συμπληρωθεί σε φόρμες, τα οποία είχαν ένα πρόσθετο επίπεδο κρυπτογράφησης με χρήση 256-bit AES. Οι νέες λεπτομέρειες εξηγούν πώς ο δράστης της απειλής απέκτησε τα κλειδιά κρυπτογράφησης S3.
Η ενημέρωση της Δευτέρας ανέφερε ότι οι τακτικές, οι τεχνικές και οι διαδικασίες που χρησιμοποιήθηκαν στο πρώτο περιστατικό ήταν διαφορετικές από εκείνες που χρησιμοποιήθηκαν στο δεύτερο και ότι, ως εκ τούτου, δεν ήταν αρχικά σαφές στους ερευνητές ότι τα δύο περιστατικά σχετίζονταν άμεσα. Κατά τη διάρκεια του δεύτερου περιστατικού, ο δράστης της απειλής χρησιμοποίησε τις πληροφορίες που απέκτησε κατά τη διάρκεια του πρώτου περιστατικού για να απαριθμήσει και να εξαγάγει τα δεδομένα που ήταν αποθηκευμένα στους κάδους S3.
"Η ειδοποίηση και η καταγραφή ήταν ενεργοποιημένη κατά τη διάρκεια αυτών των συμβάντων, αλλά δεν έδειξε αμέσως την ανώμαλη συμπεριφορά που έγινε σαφέστερη εκ των υστέρων κατά τη διάρκεια της έρευνας", έγραψαν οι υπάλληλοι της LastPass. "Συγκεκριμένα, ο δράστης της απειλής ήταν σε θέση να χρησιμοποιήσει έγκυρα διαπιστευτήρια που είχαν κλαπεί από έναν ανώτερο μηχανικό DevOps για να αποκτήσει πρόσβαση σε ένα κοινόχρηστο περιβάλλον αποθήκευσης στο cloud, γεγονός που αρχικά δυσκόλεψε τους ερευνητές να διαφοροποιήσουν τη δραστηριότητα του δράστη της απειλής από τη συνεχιζόμενη νόμιμη δραστηριότητα".
Η LastPass έμαθε για το δεύτερο περιστατικό από τις προειδοποιήσεις της Amazon για ανώμαλη συμπεριφορά, όταν ο δράστης απειλής προσπάθησε να χρησιμοποιήσει ρόλους Cloud Identity and Access Management (IAM) για να εκτελέσει μη εξουσιοδοτημένη δραστηριότητα.
Σύμφωνα με άτομο που ενημερώθηκε για μια ιδιωτική αναφορά της LastPass και μίλησε υπό τον όρο της ανωνυμίας, το πακέτο λογισμικού πολυμέσων που αξιοποιήθηκε στον οικιακό υπολογιστή του υπαλλήλου ήταν το Plex. Είναι ενδιαφέρον ότι η Plex ανέφερε τη δική της εισβολή στο δίκτυο στις 24 Αυγούστου, μόλις 12 ημέρες μετά την έναρξη του δεύτερου περιστατικού. Η παραβίαση επέτρεψε στον δράστη της απειλής να αποκτήσει πρόσβαση σε μια ιδιόκτητη βάση δεδομένων και να εξαφανιστεί με δεδομένα κωδικών πρόσβασης, ονόματα χρηστών και μηνύματα ηλεκτρονικού ταχυδρομείου που ανήκαν σε μερικούς από τους 30 εκατομμύρια πελάτες της. Η Plex είναι ένας σημαντικός πάροχος υπηρεσιών ροής πολυμέσων που επιτρέπει στους χρήστες να μεταδίδουν ταινίες και ήχο, να παίζουν παιχνίδια και να έχουν πρόσβαση στο δικό τους περιεχόμενο που φιλοξενείται σε οικιακούς ή εσωτερικούς διακομιστές πολυμέσων.
Δεν είναι σαφές αν η παραβίαση της Plex έχει κάποια σχέση με τις εισβολές της LastPass. Εκπρόσωποι της LastPass και της Plex δεν απάντησαν σε μηνύματα ηλεκτρονικού ταχυδρομείου που ζητούσαν σχόλια για το θέμα αυτό.
Ο δράστης της απειλής πίσω από την παραβίαση της LastPass έχει αποδειχθεί ιδιαίτερα επινοητικός και η αποκάλυψη ότι εκμεταλλεύτηκε με επιτυχία μια ευπάθεια λογισμικού στον οικιακό υπολογιστή ενός υπαλλήλου ενισχύει περαιτέρω αυτή την άποψη. Όπως συμβούλευσε η ArsTechnica τον Δεκέμβριο, όλοι οι χρήστες του LastPass θα πρέπει να αλλάξουν τους κύριους κωδικούς πρόσβασης και όλους τους κωδικούς πρόσβασης που είναι αποθηκευμένοι στα θησαυροφυλάκια τους. Αν και δεν είναι σαφές αν ο δράστης της απειλής έχει πρόσβαση σε κάποιο από τα δύο, οι προφυλάξεις είναι δικαιολογημένες.
Recommended Comments
There are no comments to display.
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now