Relativamente novo na cena dos ataques de ransomware e exposição de dados, o grupo Lapsus$ publicou dados da Microsoft e Okta, um provedor de logon único com 15.000 clientes.
O grupo Lapsus$, que apareceu pela primeira vez há três meses, publicou na noite de segunda-feira em seu canal Telegram que obteve acesso privilegiado a alguns dados proprietários da Okta. A alegação, se verdadeira, pode ser grave porque a Okta permite que os funcionários usem uma única conta para fazer login em vários serviços pertencentes ao empregador.
O que dizem Microsoft e Okta sobre dados divulgados pelo grupo Lapsus$?
Superusuário/SuperAdmin
“ANTES QUE AS PESSOAS COMEÇAM A PERGUNTAR: NÃO ACESSAMOS/ROUBAMOS NENHUM BANCO DE DADOS DA OKTA”, afirmou o post do Telegram. “Nosso foco era SOMENTE em clientes okta.”
O cofundador e CEO da Okta, Todd McKinnon, disse no Twitter que os dados parecem estar ligados a um hack que ocorreu há dois meses. Ele explicou:
No final de janeiro de 2022, a Okta detectou uma tentativa de comprometer a conta de um engenheiro de suporte ao cliente terceirizado que trabalhava para um de nossos subprocessadores. O assunto foi investigado e contido pelo subprocessador. Acreditamos que as capturas de tela compartilhadas online estejam conectadas a este evento de janeiro. Com base em nossa investigação até o momento, não há evidências de atividade maliciosa em andamento além da atividade detectada em janeiro.
In late January 2022, Okta detected an attempt to compromise the account of a third party customer support engineer working for one of our subprocessors. The matter was investigated and contained by the subprocessor. (1 of 2)
— Todd McKinnon (@toddmckinnon) March 22, 2022
Em um post publicado mais tarde, o diretor de segurança da Okta, David Bradbury, disse que não houve violação do serviço de sua empresa. A tentativa de compromisso de janeiro mencionada no tweet de McKinnon não teve sucesso. Okta, no entanto, contratou uma empresa forense para investigar e recentemente recebeu suas descobertas.
“O relatório destacou que houve uma janela de cinco dias entre 16 e 21 de janeiro de 2022, em que um invasor teve acesso ao laptop de um engenheiro de suporte”, disse o post da Okta. “Isso é consistente com as capturas de tela das quais tomamos conhecimento ontem.”
A postagem continuou:
O impacto potencial para os clientes da Okta é limitado ao acesso que os engenheiros de suporte têm. Esses engenheiros não podem criar ou excluir usuários ou fazer download de bancos de dados de clientes. Os engenheiros de suporte têm acesso a dados limitados — por exemplo, tickets do Jira e listas de usuários — que foram vistos nas capturas de tela. Os engenheiros de suporte também podem facilitar a redefinição de senhas e fatores de MFA para usuários, mas não conseguem obter essas senhas.
Continuamos ativamente nossa investigação, incluindo a identificação e contato com os clientes que podem ter sido afetados. Não há impacto para clientes Auth0 e não há impacto para clientes HIPAA e FedRAMP.
A Lapsus$ respondeu prontamente ao post de Okta chamando as alegações de “mentiras”.
“Ainda não tenho certeza de como é [uma] tentativa malsucedida?” o post afirmou. “Login no portal do superusuário com a capacidade de redefinir a senha e o MFA de ~ 95% dos clientes não é bem-sucedido?”
A réplica acrescentou: “O impacto potencial para os clientes da Okta NÃO é limitado, tenho certeza de que a redefinição de senhas e a MFA resultariam no comprometimento completo de muitos sistemas de clientes”.
O post de Lapsus$ na segunda-feira à noite foi acompanhado por oito screenshots. Um parecia mostrar alguém conectado a um painel “Superusuário” pertencente à Cloudflare, uma rede de entrega de conteúdo que usa os serviços Okta. Outra imagem mostrava o que parecia ser uma mudança de senha para um funcionário da Cloudflare.
O fundador e CEO da Cloudflare, Matthew Prince, respondeu várias horas depois que o Okta pode ter sido comprometido, mas, de qualquer forma, “O Okta é apenas um provedor de identidade. Felizmente, temos várias camadas de segurança além do Okta e nunca as consideraríamos uma opção independente.”
We are aware that @Okta may have been compromised. There is no evidence that Cloudflare has been compromised. Okta is merely an identity provider for Cloudflare. Thankfully, we have multiple layers of security beyond Okta, and would never consider them to be a standalone option.
— Matthew Prince 🌥 (@eastdakota) March 22, 2022
Em um tweet separado, Prince disse que a Cloudflare estava redefinindo as credenciais do Okta para funcionários que alteraram suas senhas nos últimos quatro meses. “Não confirmamos nenhum compromisso”, acrescentou. “Okta é uma camada de segurança. Dado que eles podem ter um problema, estamos avaliando alternativas para essa camada.”
We are resetting the @Okta credentials of any employees who’ve changed their passwords in the last 4 months, out of abundance of caution. We’ve confirmed no compromise. Okta is one layer of security. Given they may have an issue we’re evaluating alternatives for that layer.
— Matthew Prince 🌥 (@eastdakota) March 22, 2022
Desde então, a Cloudflare publicou este relato de sua investigação sobre a violação.
Outras imagens na postagem do Lapsus$ mostram alguém conectado ao que parece ser um sistema interno do Okta, uma lista de canais do Slack do Okta e alguns dos aplicativos disponíveis para os funcionários do Okta.
Os serviços Okta são aprovados para uso pelo governo dos EUA sob um programa conhecido como FedRAMP, que certifica que os serviços baseados em nuvem atendem aos requisitos mínimos de segurança.
“Para um serviço que alimenta sistemas de autenticação para algumas das maiores corporações (e aprovado pela FEDRAMP), acho que essas medidas de segurança são muito ruins”, escreveram membros de gangues no post do Telegram na segunda-feira.
Microsoft
No fim de semana, o mesmo canal do Telegram postou imagens para apoiar uma alegação que o Lapsus$ fez de que violava os sistemas da Microsoft. A postagem do Telegram foi removida posteriormente, mas não antes que o pesquisador de segurança Dominic Alvieri documentasse o hack no Twitter.
BREAKING
Microsoft allegedly breached.@campuscodi @vxunderground #cybersecurity #infosec @Microsoft pic.twitter.com/FAYl9Y29QT
— Dominic Alvieri (@AlvieriD) March 20, 2022
Na segunda-feira — um dia depois que o grupo postou e excluiu as imagens — Lapsus$ postou um link BitTorrent para um arquivo de arquivo que supostamente continha código-fonte proprietário para Bing, Bing Maps e Cortana, todos os serviços de propriedade da Microsoft. A Bleeping Computer, citando pesquisadores de segurança, informou que o conteúdo do download tinha 37 GB de tamanho e parecia ser um código-fonte genuíno da Microsoft.
A Microsoft disse na terça-feira apenas: “Estamos cientes das alegações e investigando”.
Grupo Lapsus$
É importante lembrar que além da Microsoft e Okta, o grupo Lapsus$ recentemente expôs dados da Samsung e Nvidia e invadiu os sistemas do Ministério da Saúde do Brasil, ação que provocou a queda de diversos serviços por mais de um mês.
Segundo pesquisadores da Check Point, Lapsus$ é um agente de ameaças que parece operar na América do Sul ou possivelmente em Portugal. Ao contrário da maioria dos grupos de ransomware, disse a empresa, o Lapsus$ não criptografa os dados de suas vítimas. Em vez disso, ameaça divulgar os dados publicamente, a menos que a vítima pague um resgate pesado. O grupo, que apareceu pela primeira vez em dezembro, afirmou ter hackeado com sucesso Nvidia, Samsung, Ubisoft e outros.
“Os detalhes de como o grupo conseguiu violar esses alvos nunca foram totalmente explicados”, escreveram os pesquisadores da Check Point em um post na manhã de terça-feira. “Se for verdade, a violação em Okta pode explicar como a Lapsus$ conseguiu alcançar seu sucesso recente.”
O que acha dos recentes ataques do grupo Lapsus$ que divulgou dados da Microsoft e Okta?
Curta comente e compartilhe.