Un participante relativamente nuevo en la escena del ransomware hizo dos afirmaciones sorprendentes en los últimos días al publicar imágenes que parecen mostrar datos patentados que el grupo dice que robó de Microsoft y Okta, un proveedor de inicio de sesión único con 15,000 clientes.
El grupo Lapsus$, que apareció por primera vez hace tres meses, dijo el lunes por la noche en su canal de Telegram que obtuvo acceso privilegiado a algunos de los datos de propiedad de Okta. El reclamo, de ser cierto, podría ser serio porque Okta permite a los empleados usar una sola cuenta para iniciar sesión en múltiples servicios que pertenecen a su empleador.
Obtener el estado de “Superusuario”
“ANTES DE QUE LA GENTE EMPIECE A PREGUNTAR: NO ACCEDIMOS/ROBAMOS NINGUNA BASE DE DATOS DE OKTA”, decía la publicación de Telegram. “Nuestro enfoque SOLO estaba en los clientes de okta”.
Cofundador y director ejecutivo de Okta, Todd McKinnon dijo en Twitter que los datos parecen estar vinculados a un hack que ocurrió hace dos meses. Él explicó:
A fines de enero de 2022, Okta detectó un intento de comprometer la cuenta de un ingeniero de atención al cliente externo que trabajaba para uno de nuestros subprocesadores. El asunto fue investigado y contenido por el subprocesador. Creemos que las capturas de pantalla compartidas en línea están conectadas con este evento de enero. Según nuestra investigación hasta la fecha, no hay evidencia de actividad maliciosa en curso más allá de la actividad detectada en enero.
A fines de enero de 2022, Okta detectó un intento de comprometer la cuenta de un ingeniero de atención al cliente externo que trabajaba para uno de nuestros subprocesadores. El asunto fue investigado y contenido por el subprocesador. (1 de 2)
—Todd McKinnon (@toddmckinnon) 22 de marzo de 2022
en un correo publicado más tarde, el director de seguridad de Okta, David Bradbury, dijo que no se había violado el servicio de su empresa. El intento de compromiso de enero al que se hace referencia en el tuit de McKinnon no tuvo éxito. No obstante, Okta contrató a una firma forense para investigar y recientemente recibió sus hallazgos.
“El informe destacó que hubo un período de tiempo de cinco días entre el 16 y el 21 de enero de 2022, en el que un atacante tuvo acceso a la computadora portátil de un ingeniero de soporte”, dijo la publicación de Okta. “Esto es consistente con las capturas de pantalla de las que nos enteramos ayer”.
La publicación continuó:
El impacto potencial para los clientes de Okta se limita al acceso que tienen los ingenieros de soporte. Estos ingenieros no pueden crear o eliminar usuarios ni descargar bases de datos de clientes. Los ingenieros de soporte tienen acceso a datos limitados, por ejemplo, tickets de Jira y listas de usuarios, que se vieron en las capturas de pantalla. Los ingenieros de soporte también pueden facilitar el restablecimiento de contraseñas y factores MFA para los usuarios, pero no pueden obtener esas contraseñas.
Continuamos activamente nuestra investigación, incluida la identificación y el contacto con los clientes que pueden haber sido afectados. No hay impacto para los clientes de Auth0, y no hay impacto para los clientes de HIPAA y FedRAMP.
Lapsus$ respondió rápidamente a la publicación de Okta calificando las afirmaciones de “mentiras”.
“TODAVÍA no estoy seguro de cómo es [an] ¿Intento fallido?”, decía la publicación. “¿Iniciar sesión en el portal de superusuario con la capacidad de restablecer la contraseña y MFA de ~ 95% de los clientes no tuvo éxito?”
La refutación agregó: “El impacto potencial para los clientes de Okta NO es limitado, estoy bastante seguro de que restablecer las contraseñas y MFA resultaría en un compromiso completo de los sistemas de muchos clientes”.
La publicación del lunes por la noche de Lapsus$ estuvo acompañada de ocho capturas de pantalla. Uno parecía mostrar que alguien inició sesión en un tablero de “Superusuario” que pertenece a Cloudflare, una red de entrega de contenido que utiliza los servicios de Okta. Otra imagen mostraba lo que parecía ser un cambio de contraseña para un empleado de Cloudflare.
El fundador y CEO de Cloudflare, Matthew Prince respondió varias horas más tarde, Okta pudo haberse visto comprometido pero, en cualquier caso, “Okta es simplemente un proveedor de identidad. Afortunadamente, tenemos varias capas de seguridad más allá de Okta y nunca las consideraríamos como una opción independiente”.
en un tuit separadoPrince dijo que Cloudflare estaba restableciendo las credenciales de Okta para los empleados que cambiaron sus contraseñas en los últimos cuatro meses. “Hemos confirmado que no hay compromiso”, agregó. “Okta es una capa de seguridad. Dado que pueden tener un problema, estamos evaluando alternativas para esa capa”.
Somos conscientes de que @Okta puede haber sido comprometida. No hay evidencia de que Cloudflare se haya visto comprometido. Okta es simplemente un proveedor de identidad para Cloudflare. Afortunadamente, tenemos varias capas de seguridad más allá de Okta y nunca las consideraríamos como una opción independiente.
— Mateo Príncipe 🌥 (@eastdakota) 22 de marzo de 2022
Estamos reiniciando el @Okta credenciales de cualquier empleado que haya cambiado sus contraseñas en los últimos 4 meses, por precaución. Hemos confirmado que no hay compromiso. Okta es una capa de seguridad. Dado que pueden tener un problema, estamos evaluando alternativas para esa capa.
— Mateo Príncipe 🌥 (@eastdakota) 22 de marzo de 2022
Desde entonces, Cloudflare ha publicado esta cuenta de su investigación sobre la violación.
Otras imágenes en la publicación de Lapsus$ muestran a alguien conectado a lo que parece ser un sistema interno de Okta, una lista de los canales Slack de Okta y algunas de las aplicaciones disponibles para los empleados de Okta.
Los servicios de Okta están aprobados para su uso por el gobierno de EE. UU. bajo un programa conocido como FedRAMP, que certifica que los servicios basados en la nube cumplen con los requisitos mínimos de seguridad.
“Para un servicio que impulsa los sistemas de autenticación de muchas de las corporaciones más grandes (y aprobado por FEDRAMP), creo que estas medidas de seguridad son bastante deficientes”, escribieron los pandilleros en la publicación de Telegram del lunes.
microsoft
Durante el fin de semana, el mismo canal de Telegram publicó imágenes para respaldar la afirmación que hizo Lapsus$ de que violó los sistemas de Microsoft. La publicación de Telegram se eliminó más tarde, pero no antes de que el investigador de seguridad Dominic Alvieri documentado el hack en Twitter.
El lunes, un día después de que el grupo publicara y luego eliminara la imagen, Lapsus$ publicó un enlace de BitTorrent a un archivo que supuestamente contenía un código fuente propietario para Bing, Bing Maps y Cortana, todos los cuales son servicios propiedad de Microsoft. Bleeping Computer, citando investigadores de seguridad, reportado que el contenido de la descarga tenía un tamaño de 37 GB y parecía ser un código fuente genuino de Microsoft.
Microsoft solo dijo el martes: “Estamos al tanto de las afirmaciones y las estamos investigando”.
Lapsus$ es un actor de amenazas que parece operar desde América del Sur, o posiblemente Portugal, dijeron investigadores de la firma de seguridad Checkpoint. A diferencia de la mayoría de los grupos de ransomware, dijo la firma, Lapsus$ no encripta los datos de sus víctimas. En cambio, amenaza con divulgar los datos públicamente a menos que la víctima pague un rescate considerable. El grupo, que apareció por primera vez en diciembre, afirmó haber pirateado con éxito a Nvidia, Samsung, Ubisoft y otros.
“Los detalles de cómo el grupo logró violar estos objetivos nunca se han explicado por completo”, escribieron los investigadores de Checkpoint en un publicación del martes por la mañana. “Si es cierto, la brecha en Okta puede explicar cómo Lapsus$ ha podido lograr su reciente ejecución exitosa”.