JumpCloud, un servicio de administración de TI basado en la nube que incluye a Cars.com, GoFundMe y Foursquare entre sus 5000 clientes que pagan, experimentó una brecha de seguridad llevada a cabo por piratas informáticos que trabajaban para un estado-nación, dijo la compañía la semana pasada.
El ataque comenzó el 22 de junio como una campaña de spear-phishing, la empresa revelado el miércoles pasado. Como parte de ese incidente, dijo JumpCloud, el “actor de amenazas sofisticado patrocinado por el estado nacional” obtuvo acceso a una parte no especificada de la red interna de JumpCloud. Aunque los investigadores en ese momento no encontraron evidencia de que ningún cliente se viera afectado, la compañía dijo que rotó las credenciales de la cuenta, reconstruyó sus sistemas y tomó otras medidas defensivas.
El 5 de julio, los investigadores descubrieron que la infracción involucró “actividad inusual en el marco de comandos para un pequeño grupo de clientes”. En respuesta, el equipo de seguridad de la empresa realizó una rotación forzada de todas las claves API de administrador y notificó a los clientes afectados.
A medida que los investigadores continuaron con su análisis, descubrieron que la violación también involucró una “inyección de datos en el marco de comandos”, que la divulgación describió como el “vector de ataque”. La divulgación no explicó la conexión entre la inyección de datos y el acceso obtenido por el ataque de phishing selectivo el 22 de junio. Ars le pidió detalles a JumpCloud PR y los empleados respondieron enviando la misma publicación de divulgación que omite dichos detalles.
Los investigadores también descubrieron que el ataque estaba extremadamente dirigido y limitado a clientes específicos, que la empresa no nombró.
JumpCloud dice en su sitio web que tiene una base de usuarios global de más de 200.000 organizaciones, con más de 5.000 clientes de pago. Incluyen Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance y Foursquare. JumpCloud ha recaudado más de 400 millones de dólares de inversores, incluidos Sapphire Ventures, General Atlantic, Sands Capital, Atlassian y CrowdStrike.
En la divulgación de la semana pasada, el director de seguridad de la información de JumpCloud, Bob Phan, escribió:
El 27 de junio a las 15:13 UTC, descubrimos una actividad anómala en un sistema de orquestación interno que rastreamos hasta una sofisticada campaña de phishing dirigido por el atacante el 22 de junio. Esa actividad incluía el acceso no autorizado a un área específica de nuestra infraestructura. No vimos evidencia de impacto en el cliente en ese momento. Por precaución, rotamos las credenciales, reconstruimos la infraestructura y tomamos una serie de otras acciones para proteger aún más nuestra red y nuestro perímetro. Además, activamos nuestro plan de respuesta a incidentes preparado y trabajamos con nuestro socio de Respuesta a incidentes (IR) para analizar todos los sistemas y registros en busca de actividad potencial. También fue en ese momento, como parte de nuestro plan IR, que contactamos e involucramos a la policía en nuestra investigación.
JumpCloud Security Operations, en colaboración con nuestros socios de IR y las fuerzas del orden, continuaron con la investigación forense. El 5 de julio a las 03:35 UTC, descubrimos actividad inusual en el marco de comandos para un pequeño grupo de clientes. En este momento, teníamos evidencia del impacto en el cliente y comenzamos a trabajar en estrecha colaboración con los clientes afectados para ayudarlos con medidas de seguridad adicionales. También decidimos realizar una rotación forzada de todas las claves API de administración a partir del 5 de julio a las 23:11 UTC. Inmediatamente notificamos a los clientes de esta acción.
El análisis continuo descubrió el vector de ataque: la inyección de datos en nuestro marco de comandos. El análisis también confirmó las sospechas de que el ataque fue extremadamente dirigido y limitado a clientes específicos. Lo que aprendimos nos permitió crear y ahora compartir un lista de IOC (indicadores de compromiso) que hemos observado para esta campaña.
Estos son adversarios sofisticados y persistentes con capacidades avanzadas. Nuestra línea de defensa más fuerte es a través del intercambio de información y la colaboración. Por eso era importante para nosotros compartir los detalles de este incidente y ayudar a nuestros socios a proteger sus propios entornos contra esta amenaza. Continuaremos mejorando nuestras propias medidas de seguridad para proteger a nuestros clientes de amenazas futuras y trabajaremos de cerca con nuestros socios gubernamentales y de la industria para compartir información relacionada con esta amenaza.
La empresa también ha publicado una lista de direcciones IP, nombres de dominio y hashes criptográficos usados por el atacante que otras organizaciones pueden usar para indicar si fueron atacados por los mismos atacantes. JumpCloud aún tiene que nombrar el país de origen u otros detalles sobre el grupo de amenazas responsable.