цепочка поставок
Хакеры из группировки LAPSUS$ опубликовали в Интернете скриншоты, предположительно сделанные в информационных системах компании Okta. Если верить злоумышленникам, то они имеют доступ не только к сайту компании, но и к ряду других внутренних систем, в том числе и достаточно критическим.
LAPSUS$ утверждают, что они не похищали никаких данных у самой компании, их целью были в основном клиенты Okta. Судя по датам на скриншотах, доступ к системам у злоумышленников был еще в январе этого года.
Что за компания Okta и почему ее взлом так важен?
Компания Okta разрабатывает и поддерживает системы управления учетными данными и доступами (Identity and Access Management). В частности, они поставляют решение для единого входа (Single Sign-On). Клиентами Okta является огромное количество достаточно крупных фирм.
Эксперты «Лаборатории Касперского» полагают, что доступ к системам Okta может объяснить достаточно громкие утечки информации из крупных компаний, ответственность за которые взяли на себя хакеры из LAPSUS$.
Как злоумышленники проникли в инфраструктуру Okta?
На данный момент доподлинно неизвестно, как хакеры получили доступ. Согласно официальному заявлению компании, сейчас ее специалисты проводят расследование и обещают поделиться подробностями, как только оно будет завершено. Не исключено, что опубликованные скриншоты связаны с январским инцидентом, в ходе которого неизвестные пытались скомпрометировать учетную запись инженера техподдержки, работающего на стороннего подрядчика.
Обновлено 23 марта 2022: LAPSUS$ опубликовали свой ответ на официальное заявление Okta в котором обвиняют компанию в попытках преуменьшить возможный урон.
Кто такие LAPSUS$ и что про них известно?
LAPSUS$ приобрела известность в 2020 году — тогда преступники проникли в системы бразильского Министерства здравоохранения. Предположительно, это латиноамериканская хакерская группировка, похищающая информацию крупных компаний ради выкупа. Если жертвы отказываются платить выкуп, хакеры выкладывают похищенную информацию в свободный доступ. В отличие от многих других группировок вымогателей, в LAPSUS$ не занимаются шифрованием данных взломанных организаций, а фокусируются именно на угрозах утечки в случае неуплаты выкупа.
Среди известных жертв LAPSUS$ — Nvidia, Samsung и Ubisoft. Кроме того, недавно они опубликовали 37 Гбайт кода, предположительно имеющего отношение к внутренним проектам Microsoft.
Как оставаться в безопасности?
На данный момент невозможно говорить со стопроцентной уверенностью, что инцидент действительно был. Сама по себе публикация скриншотов — достаточно странный ход, который может иметь целью самопиар хакеров, атаку на репутацию Okta или же попытку скрыть реальный метод, с помощью которого LAPSUS$ получили доступ к кому-то из клиентов Okta.
На данный момент наши эксперты рекомендуют клиентам Okta следующее:
- начните собенно тщательно мониторить всю сетевую активность и в первую очередь активность, связанную с аутентификацией во внутренних системах компании;
- проведите сотрудникам тренинги по цифровой гигиене и объясните им, кому и как они могут сообщить о подозрительной активности в случае ее обнаружения;
- проведите аудит безопасности IT-инфраструктуры компании, чтобы выявить возможные проблемы и уязвимости;
- ограничьте доступ к инструментам удаленного управления с внешних IP-адресов;
- убедитесь в том, что интерфейсы удаленного управления доступны только для ограниченного числа конечных точек;
- ограничьте права сотрудников по умолчанию и выдавайте повышенные привилегии только в тех случаях, когда они действительно нужны для выполнения сотрудниками их работы;
- в автоматизированных системах управления используйте специализированные средства для мониторинга трафика, анализа и обнаружения угроз.
Компании, не имеющие возможностей или ресурсов для самостоятельного мониторинга подозрительной активности в инфраструктуре, могут воспользоваться услугами сторонних экспертов.
