LastPass: шахраї використовували кейлоггер, щоб зламати корпоративне сховище паролів

В оновленні немає дати, але, наскільки ми можемо зрозуміти, LastPass щойно [2023-02-27] опублікував короткий документ під назвою Інцидент 2 – додаткові подробиці атаки.

Як ви, мабуть, пам'ятаєте, тому що Погана новина вийшов з ладу безпосередньо перед різдвяними святами в грудні 2022 року, LastPass постраждав від того, що на жаргоні називається бічний рух атака

Простіше кажучи, бічний рух це лише вигадливий спосіб сказати: «Як тільки ви потрапите у вестибюль, ви можете прокрастися в темний куток офісу служби безпеки, де ви можете почекати в тіні, поки охоронці встануть, щоб зробити чай, коли ви зможете отримати доступ картка з полиці поруч із тим, де вони зазвичай сидять, яка переведе вас у безпечну зону поруч із гардеробом, де ви знайдете ключі від сейфа».

Невідомі невідомі

Як ми вже описували, у серпні 2022 року LastPass помітив, що хтось зламав їхню мережу DevOps (операції розробки) і втік із конфіденційна інформація, включаючи вихідний код.

Але це схоже на те, що, повертаючись із відпустки, бокове вікно розбите, а ваша улюблена ігрова консоль зникла… ніщо інше явно не так.

Ви знаєте те, що знаєте, тому що на підлозі кухні розбите скло та щілина у формі консолі, де раніше був ваш улюблений ігровий пристрій PlayBox-5/360.

Але ви не знаєте та не можете легко зрозуміти, чого ви не знаєте, наприклад, чи шахраї старанно просканували, але замінили всі особисті документи в ящику вашого столу, чи зробили якісні фотографії сертифікати про освіту на стіні, або знайшли копії ключа від вхідних дверей, про які ви забули, або зайшли у ванну кімнату і використали свою зубну щітку, щоб...

…ну, ви просто не можете бути впевнені, що вони з ним не зробили.

Актор загрози обертається

У випадку з LastPass початкове порушення відбулося негайно, як компанія тепер говорить, через тривалий період зловмисників, які нишпорили деінде в пошуках додаткової кіберздобичі:

Загрозливий суб’єкт виник після першого інциденту, який завершився 2022 серпня 08 року, але брав активну участь у новій серії розвідки, підрахунку та ексфільтрації, узгодженої з середовищем хмарного зберігання даних, яка охоплювала період з 12 серпня 2022 року до 08 року. 12-2022.

Здається, гострим питанням було: «Як таке перетворення стало можливим, враховуючи, що необхідні облікові дані доступу були заблоковані в безпечному сховищі паролів, до якого мали доступ лише чотири розробники?»

(Слово стрижень у цьому контексті це просто спосіб сказати на жаргоні: «Куди пішли шахраї».)

LastPass тепер вважає, що у нього є відповідь, і хоча це поганий вигляд для компанії, щоб її окупували таким чином, ми повторимо те, що сказали в промо-відео podcat минулого тижня, щодо нещодавнього Злом Coinbase, де також було вкрадено вихідний код:

«Якою б простою не була атака, смілива компанія стверджувала б, що жоден з її користувачів ніколи не попадеться на подібні речі…»

Слухайте зараз – дізнайтеся більше!https://t.co/CdZpuDSW2f pic.twitter.com/0DFb4wALhi

— Гола безпека (@NakedSecurity) 24 Лютого, 2023

Невдалий співробітник Coinbase потрапив під фішинг, але невдалий розробник LastPass, очевидно, потрапив у клавіатурний лог, і шахраї використовували невиправлену вразливість, щоб отримати точку опори:

[Доступ до пароля сховища] було здійснено шляхом націлювання на домашній комп’ютер інженера DevOps і використання вразливого стороннього медіа-пакета, який увімкнув можливість віддаленого виконання коду та дозволив учаснику загрози імплантувати зловмисне програмне забезпечення кейлоггера. Зловмисник зміг перехопити головний пароль співробітника під час його введення після того, як працівник пройшов автентифікацію в MFA, і отримати доступ до корпоративного сховища LastPass інженера DevOps.

На жаль, неважливо, наскільки складним, довгим, випадковим або таким, що його неможливо вгадати, є ваш пароль, якщо зловмисники можуть просто записати, як ви його вводите.

(Ні, ми не впевнені, чому для відкриття корпоративного сховища очевидно не було вимоги до 2FA на додаток до 2FA, який використовувався під час першої автентифікації працівника.)

Що ж робити?

• Латайте рано, латайте часто, латайте всюди. Це не завжди допомагає, наприклад, якщо ваші зловмисники мають доступ до експлойту нульового дня, для якого ще не існує виправлення. Але більшість вразливостей ніколи не перетворюються на нульові дні, а це означає, що якщо ви виправляєте миттєво, ви дуже часто випереджатимете шахраїв. У будь-якому випадку, особливо у випадку нульового дня, навіщо залишати себе під впливом на мить довше, ніж потрібно?
• Увімкніть 2FA, де тільки можете. Це не завжди допомагає, наприклад, якщо вас атакують через фішинговий сайт, який обманом змушує вас передати ваш звичайний пароль і поточний одноразовий код одночасно. Але це часто перешкоджає одних тільки вкрадених паролів для подальших атак.
• Не чекайте, щоб змінити облікові дані або скинути початкові параметри 2FA після успішної атаки. Ми не прихильники регулярних примусових змін паролів, коли в цьому немає очевидної потреби, лише заради зміни. Але ми фанати a міняти рано, міняти всюди підходьте, коли знаєте, що десь залізли шахраї.

Той поганий злодій, який вкрав вашу ігрову консоль, напевно, просто схопив її та втік, щоб не бути спійманим, і не витрачав час на те, щоб зайти до вашої ванної кімнати, не кажучи вже про вашу зубну щітку…

…але ми вважаємо, що ви все одно його заміните.

Тепер ми про це згадали.

---

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://nakedsecurity.sophos.com/2023/02/28/lastpass-the-crooks-used-a-keylogger-to-crack-a-corporatre-password-vault/