Nie tak dawno pisaliśmy o włamaniu do systemu wsparcia Okty. Teraz okazuje się, że firma znalazła winowajcę.
To pracownik, który zalogował się na osobiste konto Google na zarządzanym przez firmę laptopie, ujawniając dane uwierzytelniające, co w konsekwencji doprowadziło do kradzieży danych wielu klientów Okty.
Krótka analiza przeprowadzona przez szefa bezpieczeństwa Okty, Davida Bradbury’ego, tego samego, którego cytowaliśmy w poprzedniej publikacji, wykazała, że wewnętrzne naruszenie było „najbardziej prawdopodobnym wektorem”, w wyniku którego „trafiono” setki klientów Okty, w tym firmy zajmujące się bezpieczeństwem cybernetycznym: BeyondTrust i Cloudflare.
„Możemy potwierdzić, że od 28 września 2023 r. do 17 października 2023 r. ugrupowanie zagrażające uzyskało nieautoryzowany dostęp do plików w systemie obsługi klienta Okta powiązanych ze 134 klientami, czyli mniej niż 1% wszystkich klientów Okty. Niektóre z tych plików to pliki HAR zawierające tokeny sesji, które z kolei można wykorzystać do ataków polegających na przejęciu sesji” – stwierdził Bradbury w notatce zawierającej szczegółowy harmonogram incydentu.
Poinformował, że hakerzy mogli wykorzystać tokeny sesji do przejęcia legalnych sesji Okty pięciu klientów. Ponadto stwierdził, że cyberprzestępcy wykorzystali konto usługi przechowywane w samym systemie, któremu przyznano uprawnienia do przeglądania i aktualizowania zgłoszeń do obsługi klienta.
„Podczas naszego dochodzenia w sprawie podejrzanego użycia tego konta Okta Security stwierdziła, że pracownik zalogował się do swojego osobistego profilu Google w przeglądarce Chrome na swoim laptopie zarządzanym przez Okta. Nazwa użytkownika i hasło do konta usługi zostały zapisane na osobistym koncie Google pracownika” – wytłumaczył Bradbury.
„Najbardziej prawdopodobną drogą ujawnienia tych danych uwierzytelniających jest naruszenie osobistego konta Google lub urządzenia osobistego pracownika”.
Bradbury przyznał się, że kontrola wewnętrzna nie zdołała wykryć naruszenia. „Przez 14 dni Okta nie wykryła w naszych logach podejrzanych pobrań. Gdy użytkownik otwiera i przegląda pliki dołączone do zgłoszenia do pomocy technicznej, generowany jest określony typ zdarzenia w dzienniku i identyfikator powiązany z tym plikiem. Jeśli zamiast tego użytkownik przejdzie bezpośrednio do karty Pliki w systemie obsługi klienta, tak jak zrobił to podmiot zagrażający w tym ataku, zamiast tego wygeneruje zupełnie inne zdarzenie w dzienniku z innym identyfikatorem rekordu.
Dyrektor ds. bezpieczeństwa Okty powiedział, że początkowe dochodzenie jego zespołu skupiało się na dostępie do wsparcia, a później nastąpił znaczący przełom, gdy BeyondTrust udostępniło podejrzany adres IP przypisany ugrupowaniu zagrażającemu.
„Dzięki temu wskaźnikowi zidentyfikowaliśmy dodatkowe zdarzenia związane z dostępem do plików powiązane z zaatakowanym kontem” – wyjaśnił Bradbury.
Okta znalazła się na celowniku wielu grup hakerskich, których celem jest przejęcie infrastruktury, aby potem włamać się do organizacji zewnętrznych.
We wrześniu Okta podała, że wyrafinowana grupa hakerska wzięła za cel personel działu obsługi IT, próbując przekonać go do zresetowania uwierzytelniania wieloskładnikowego (MFA) dla użytkowników o wysokich uprawnieniach w docelowej organizacji. Okta stwierdziła, że podczas tego ataku hakerzy wykorzystali nowe metody ruchu bocznego i unikania obrony, ale nie udostępniła żadnych informacji na temat samego ugrupowania zagrażającego ani jego ostatecznego celu. Nie jest jasne, czy jest to ze sobą powiązane, ale w zeszłym roku wielu klientów Okta stało się celem kampanii cyberprzestępczej o nazwie 0ktapus.