Uber a divulgué lundi plus de détails sur l’incident de sécurité survenu la semaine dernière, attribuant l’attaque à un acteur menaçant qui, selon lui, est affilié au célèbre groupe de piratage LAPSUS$.
« Ce groupe utilise généralement des techniques similaires pour cibler les entreprises technologiques et, rien qu’en 2022, a violé Microsoft, Cisco, Samsung, NVIDIA et Okta, entre autres », a déclaré la société basée à San Francisco. a dit dans une mise à jour.
Le gang d’extorqueurs à motivation financière a reçu un coup dur en mars 2022 lorsque la police de la ville de Londres a décidé d’arrêter sept membres présumés du gang LAPSUS$ âgés de 16 à 21 ans. Des semaines plus tard, deux d’entre eux ont été inculpés pour leurs actions.
Le pirate à l’origine de la violation d’Uber, un adolescent de 18 ans qui porte le surnom de Tea Pot, a également revendiqué la responsabilité d’avoir pénétré par effraction dans le fabricant de jeux vidéo Rockstar Games au cours du week-end.
Uber a déclaré qu’il travaillait avec « plusieurs sociétés de criminalistique numérique de premier plan » alors que l’enquête de la société sur l’incident se poursuit, en plus de se coordonner avec le Federal Bureau of Investigation (FBI) américain et le ministère de la Justice sur la question.
Quant à la façon dont l’attaque s’est déroulée, la société de covoiturage a déclaré qu’un « entrepreneur EXT » avait son appareil personnel compromis par des logiciels malveillants et les informations d’identification de son compte d’entreprise volées et vendues sur le dark web, corroborant un rapport antérieur de Group-IB.
La semaine précédente, la société basée à Singapour a noté qu’au moins deux des employés d’Uber situés au Brésil et en Indonésie avaient été infectés par des voleurs d’informations Raccoon et Vidar.
« L’attaquant a ensuite tenté à plusieurs reprises de se connecter au compte Uber de l’entrepreneur », a indiqué la société. « Chaque fois, l’entrepreneur a reçu une demande d’approbation de connexion à deux facteurs, qui bloquait initialement l’accès. Finalement, cependant, l’entrepreneur en a accepté une et l’attaquant s’est connecté avec succès. »
Après avoir pris pied, le mécréant aurait accédé à d’autres comptes d’employés, équipant ainsi la partie malveillante d’autorisations élevées sur « plusieurs systèmes internes » tels que Google Workspace et Slack.
La société a en outre déclaré qu’elle avait pris un certain nombre de mesures dans le cadre de ses mesures de réponse aux incidents, notamment la désactivation des outils concernés, la rotation des clés des services, le verrouillage de la base de code et également le blocage des comptes d’employés compromis d’accéder aux systèmes Uber ou l’émission d’une réinitialisation du mot de passe pour ces comptes.
Uber n’a pas révélé le nombre de comptes d’employés potentiellement compromis, mais il a répété qu’aucune modification de code non autorisée n’avait été apportée et qu’il n’y avait aucune preuve que le pirate avait accès aux systèmes de production prenant en charge ses applications destinées aux clients.
Cela dit, le prétendu adolescent pirate informatique aurait téléchargé un nombre indéterminé de messages et d’informations internes à Slack à partir d’un outil interne utilisé par son équipe financière pour gérer certaines factures.
Uber a également confirmé que l’attaquant avait accédé aux rapports de bogue de HackerOne, mais a noté que « tous les rapports de bogue auxquels l’attaquant a pu accéder ont été corrigés ».
« Il n’y a qu’une seule solution pour faire du push-based [multi-factor authentication] plus résilient et qui consiste à former vos employés, qui utilisent le MFA basé sur le push, sur les types d’attaques courants contre lui, comment détecter ces attaques, et comment les atténuer et les signaler si elles se produisent », Roger Grimes, data-driven évangéliste de la défense chez KnowBe4, a déclaré dans un communiqué.
Chris Clements, vice-président de l’architecture des solutions chez Cerberus Sentinel, a déclaré qu’il était crucial pour les organisations de réaliser que la MFA n’est pas une « solution miracle » et que tous les facteurs ne sont pas créés égaux.
Bien qu’il y ait eu un passage de l’authentification par SMS à une approche basée sur les applications pour atténuer les risques associés aux attaques par échange de carte SIM, l’attaque contre Uber et Cisco souligne que les contrôles de sécurité autrefois considérés comme infaillibles sont contournés par d’autres moyens.
Le fait que les acteurs de la menace misent sur des voies d’attaque telles que les kits d’outils proxy Adversary-in-the-middle (AiTM) et la fatigue MFA (aka prompt bombing) pour inciter un employé sans méfiance à remettre par inadvertance des codes MFA ou à autoriser une demande d’accès signale le doivent adopter des méthodes résistantes au phishing.
« Pour éviter des attaques similaires, les organisations devraient passer à des versions plus sécurisées de l’approbation MFA, telles que la correspondance des numéros, qui minimisent le risque qu’un utilisateur approuve aveuglément une invite de vérification d’authentification », a déclaré Clements.
« La réalité est que si un attaquant n’a besoin de compromettre qu’un seul utilisateur pour causer des dommages importants, tôt ou tard, vous subirez des dommages importants », a ajouté Clements, soulignant que les mécanismes d’authentification forts « devraient être l’un des nombreux contrôles défensifs approfondis ». pour éviter les compromis. »
