بحران برای LastPass؛ حمله دوم هکرها، این بار به کامپیوتر یک مهندس DevOps
اخبار داغ فناوری اطلاعات و امنیت شبکه
عاملان تهدید کامپیوتر خانگی یک مهندس DevOp را هک کردند و یک کی لاگر را بهعنوان بخشی از یک حمله سایبری پیچیده نصب کردند.
شرکت نرمافزار مدیریت رمز عبور LastPass یک «حمله دوم» را فاش کرد که در آن، عامل تهدید از دادههای دزدیده شده از نقض امنیتی آگوست استفاده کرده و آنها را با اطلاعات موجود از نقض دادههای شخص ثالث ترکیب نمود. سپس مهاجمان از یک نقص در پکیج نرمافزار مدیای شخص ثالث برای هدف قرار دادن شرکت استفاده کردند.
در بروزرسانی منتشر شده توسط شرکت بیان شده است که : "تحقیقات ما نشان داد که عامل تهدید دستاوردهای اولین حادثه که در ١٢ آگوست ٢٠٢٢ به پایان رسید را محور حملات فعلی قرار دادند، اما فعالانه درگیر یک سری جدید از فعالیتهای شناسایی، شمارش، و خروجی همسو با محیط ذخیرهسازی ابری شدند که از ١٢ آگوست ٢٠٢٢ تا ٢٦ اکتبر ٢٠٢٢ ادامه داشت. رویداد دوم باعث شد که عامل تهدید به سرعت از اطلاعات استخراج شده در اولین حادثه قبل از بازنشانی کامل توسط تیمهای ما برای شمارش و درنهایت استخراج دادهها از منابع ذخیرهسازی ابری استفاده کنند. "
مجموعه LastPass فاش کرد که کامپیوتر خانگی یکی از مهندسان DevOp آن بهعنوان بخشی از یک حمله سایبری پیچیده هک شده است.
مهاجمان یکی از چهار مهندس DevOps را هدف قرار دادند که به کلیدهای رمزگشایی مورد نیاز برای دسترسی به سرویس ذخیرهسازی ابری دسترسی داشتند. هکرها یک کی لاگر را بر روی سیستم مهندس DevOp نصب کردند و رمز عبور اصلی او را ضبط کردند.
این مجموعه در ادامه افزود : "این کار با هدف قرار دادن کامپیوتر خانگی مهندس DevOps و بهرهبرداری از یک پکیج نرمافزار مدیای شخص ثالث آسیب پذیر، که قابلیت اجرای کد از راه دور را فعال میکرد و به عامل تهدید اجازه میداد بدافزار کی لاگر را نصب کند، انجام شده است. عامل تهدید توانست رمز عبور اصلی کارمند را بهمحض وارد کردن، پس از احراز هویت کارمند با MFA دریافت کند و به خزانه سازمانی LastPass مهندس DevOps دسترسی پیدا کند. "
تحقیقات انجام شده توسط این شرکت با کمک شرکت امنیت سایبری Mandiant، حمله به کامپیوتر خانگی مهندس DevOps را تایید کرد.
عامل تهدید سپس ورودیهای خزانه سازمانی محلی و محتوای پوشههای اشتراکگذاری شده را استخراج کرد که حاوی یادداشتهای امن رمزگذاریشده با کلیدهای دسترسی و رمزگشایی مورد نیاز برای دسترسی به پشتیبانهای تولید AWS S3 LastPass، سایر منابع ذخیرهسازی مبتنی بر فضای ابری و برخی از نسخههای پشتیبان پایگاه داده حیاتی که مرتبط بود، نمود.
در آگوست ٢٠٢٢، این شرکت یک نقض امنیتی را فاش کرد که در آن عوامل تهدید از طریق یک حساب توسعهدهنده در معرض خطر به بخشهایی از محیط توسعه شرکت دسترسی داشتند و بخشهایی از کد منبع و برخی اطلاعات فنی اختصاصی را به سرقت بردند.
در دسامبر ٢٠٢٢، LastPass فاش کرد که نقض دادهها در آگوست ٢٠٢٢ ممکن است شدیدتر از آنچه قبلا تصور میشد، بوده باشد.
روز پنجشنبه نیز، این شرکت فاش کرد که عوامل تهدید اطلاعات شخصی متعلق به مشتریانش، ازجمله مخازن رمز عبور رمزگذاری شده را بهدست آوردهاند.
این شرکت کشف کرد که یک عامل تهدید ناشناخته با استفاده از اطلاعات بهدست آمده از حادثه امنیتی آگوست به یک محیط ذخیرهسازی مبتنی بر ابر دسترسی پیدا کرده است. مهاجمان از اطلاعات بهدست آمده برای هدف قرار دادن یک کارمند دیگر و بهدست آوردن اعتبارنامه و کلیدهایی استفاده کردند که برای دسترسی و رمزگشایی برخی از حجمهای ذخیرهسازی در سرویس ذخیرهسازی مبتنی بر ابر استفاده میشد.
بروزرسانیها نشان میدهد که سرویس ذخیرهسازی ابری که عامل تهدید به آن دسترسی دارد، از نظر فیزیکی از محیط تولید مجزا است.
پس از بهدست آوردن کلید دسترسی به فضای ذخیرهسازی ابری و کلیدهای رمزگشایی کانتینر ذخیرهسازی دوگانه، مهاجمان اطلاعاتی را از نسخه پشتیبان کپی کردند که حاوی اطلاعات اولیه حساب مشتری و ابردادههای مرتبط بود. دادههای کپی شده شامل نام شرکت، نام کاربر نهایی، آدرس صورتحساب، آدرس ایمیل، شماره تلفن و آدرسهای IP است که مشتریان از آنها به سرویس LastPass دسترسی داشتند.
عامل تهدید همچنین یک نسخه پشتیبان از دادههای خزانه مشتری را از کانتینر ذخیرهسازی رمزگذاری شده کپی کرد که در قالب باینری اختصاصی ذخیره میشود. نسخه پشتیبان شامل دادههای رمزگذاری نشده (یعنی نشانیهای اینترنتی وبسایت) و ٢۵٦ بیتی حساس با رمزگذاری AES (یعنی نامهای کاربری و گذرواژههای وبسایت، یادداشتهای ایمن و دادههای فرم پرشده) است.
برچسب ها: ذخیرهسازی ابری, Cloud Storage, AWS S3 LastPass, DevOp, Key Logger, LastPass, Cloud Service, DevOps, AES, کانتینر, Storage, Cloud, malware, دفاع سایبری, تهدیدات سایبری, Cyber Security, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news