Le piratage d’Okta par Lapsus$ a été d’une facilité déconcertante…

Un chercheur en sécurité a obtenu un rapport d’analyse complet qui montre que les pirates sont entrés dans la structure avec une facilité déconcertante.

On en sait plus sur le piratage d’Okta de la part de Lapsus$

Externaliser une partie d’un système d’information n’est pas toujours une bonne idée, surtout si l’entreprise tierce a un faible niveau de sécurité. De ce point de vue, le piratage d’Okta pourrait devenir un cas d’école. On sait déjà que le hacker Lapsus$ a pris pied sur la plateforme via le sous-traitant d’Okta Sitel. Le chercheur en sécurité Bill Demikapi a maintenant obtenu le rapport médico-légal que Sitel a commandé à Mandiant, ainsi que les avis de violation que l’entreprise a envoyés à ses clients et partenaires.

Cet avis a été partagé avec Wired et TechCrunch. Cela suggère que l’accès initial des pirates se faisait via la passerelle VPN de la filiale Sykes, qui a été acquise en 2021. Les pirates ont probablement réussi à voler l’accès des utilisateurs au service Web. La séquence des événements peut être lue dans le rapport médico-légal publié par Bill Demikapi sur Twitter. Nous avons trouvé que c’était une vraie promenade dans le parc.

La première connexion a eu lieu le 16 janvier et la dernière le 21 janvier. Pendant ce temps, le hacker procédait méthodiquement, étape par étape, sans vraiment se soucier de la sécurité opérationnelle. Ils ont donc téléchargé les outils de piratage dont ils avaient besoin sur GitHub en utilisant la connexion Internet du poste de travail infecté. Ils téléchargent et exécutent les logiciels Process Explorer et Process Hacker pour identifier le logiciel de sécurité FireEye local et le désactiver. Ils téléchargent et exécutent également le logiciel Mimikatz pour collecter des jetons d’authentification stockés localement et augmenter leur accès. Cela leur permet d’accéder à d’autres machines du réseau.

Sur l’une des machines, heureusement, ils ont trouvé une feuille Excel avec un mot de passe administrateur ! Il s’agit apparemment de données exportées depuis le gestionnaire de mots de passe LastPass. Grâce à ces informations, les pirates ont apparemment pu créer discrètement leurs propres comptes d’administrateur, auxquels ils pouvaient ensuite se connecter. En d’autres termes, c’est une porte dérobée. Le voyage s’est terminé sans accroc, avec la mise en place de règles pour transférer certains comptes de messagerie vers des comptes contrôlés par des pirates. C’est toujours bien d’être informé.

En voyant ces documents, Bill Demikapi a mis le doigt sur le point sensible. Pourquoi Okta n’a-t-il pas immédiatement lancé une enquête en janvier ? Pourquoi n’a-t-il même pas bougé après avoir reçu le rapport forensique de Sitel en mars ? Pourquoi les clients Sitel n’ont-ils pas été prévenus immédiatement ? Les questions embarrassantes n’ont apparemment pas plu à son employeur Zoom, qui lui a demandé de retirer le tweet. Comme il ne voulait pas se conformer à la demande, il a été licencié.

Sources : Wired et TechCrunch

[ad_1]

Externaliser une partie de son système d’information n’est pas toujours une bonne idée, surtout si le niveau de sécurité de l’entreprise tierce est médiocre. Le piratage d’Okta va probablement, de ce point de vue, devenir un cas d’école. On savait déjà que les hackers de Lapsus$ avaient pris pied dans la plate-forme par le biais de Sitel, un sous-traitant d’Okta. Le chercheur en sécurité Bill Demikapi vient maintenant de mettre la main sur un rapport de forensique que Sitel avait commandé à Mandiant, ainsi que sur la notification de compromission que l’entreprise a envoyée à ses clients et partenaires.

Cette notification a été partagée avec Wired et TechCrunch. Elle indique que l’accès initial des hackers s’est fait au travers d’une passerelle VPN de Sykes, une filiale acquise en 2021. Il est probable que les hackers aient réussi à voler les accès d’un utilisateur de ce service réseau. La suite des évènements se lit dans le rapport forensique que Bill Demikapi a publié sur Twitter. On découvre que c’était une vraie promenade de santé.

La première connexion s’est faite le 16 janvier et la dernière le 21 janvier. Entre les deux, les pirates ont procédé méthodiquement, étape par étape, mais sans vraiment s’embarrasser avec la sécurité opérationnelle. Ainsi, ils ont utilisé la connexion Internet des postes compromis pour télécharger, au fur et à mesure, les outils de piratage dont ils avaient besoin sur GitHub. Ils ont téléchargé et exécuté les logiciels Process Explorer et Process Hacker pour identifier le logiciel de sécurité local FireEye et le désactiver. Ils ont également téléchargé et exécuté le logiciel Mimikatz pour collecter des jetons d’authentification stockés en local et augmenter leurs privilèges d’accès. Ce qui leur permettait d’accéder à d’autres machines sur le réseau.

Sur l’une des machines — coup de bol — ils ont découvert une feuille Excel avec des mots de passe d’administrateurs ! Il s’agissait visiblement d’une exportation de données depuis le gestionnaire de mots de passe LastPass. Grâce à ces informations, les hackers ont visiblement été capables de créer en douce leur propre compte administrateur, auquel ils pourraient se connecter plus tard. En d’autres termes, c’était une backdoor. Le voyage s’est terminé sans accroc par la mise en place d’une règle de renvoi de certains comptes d’e-mails vers des comptes contrôlés par les pirates. C’est toujours bien d’être informés.  

A découvrir aussi en vidéo :

 

À la vue de ces documents, Bill Demikapi met le doigt là où ça fait mal. Pourquoi Okta n’a pas immédiatement lancé une investigation en janvier ? Pourquoi il n’a même pas bougé après avoir eu le rapport forensique de Sitel en mars ? Pourquoi les clients de Sitel n’ont-ils pas été immédiatement informés ? Ces questions gênantes n’ont visiblement pas plu à Zoom, son employeur, qui lui a demandé de retirer ses tweets. Comme il n’a pas voulu se plier à cette exigence, il a été licencié.

Sources: Wired, TechCrunch

 

[ad_2]

Source link

Share This Post

Related Posts

0
0

    Leave a Reply

    Your email address will not be published. Required fields are marked *

    Thanks for submitting your comment!