18:37:15
LastPass, çalışanının ev bilgisayarının hacklendiğini ve şirket kasasının alındığını açıkladı…

Müşteri kasalarının çalınmasına neden olan ihlalin yaralarını sarmaya başlayan LastPass’e kötü haberler gelmeye devam ediyor. Kısmen şifrelenmiş oturum açma verilerinin bir tehdit aktörünün eline geçmesine neden olan bir ihlalden zaten muzdarip olan LastPass, Pazartesi günü aynı saldırganın bir çalışanın ev bilgisayarını hacklediğini ve yalnızca bir avuç şirket geliştiricisinin kullanabildiği şifresi çözülmüş bir kasayı ele geçirdiğini söyledi.

LastPass‘e yapılan ilk saldırı 12 Ağustos’ta sona ermiş olsa da, önde gelen şifre yöneticisi yetkilileri tehdit aktörünün 12 Ağustos’tan 26 Ağustos’a kadar “aktif olarak yeni bir dizi keşif, numaralandırma ve sızma faaliyetinde bulunduğunu" söyledi. Bu süreçte, kimliği bilinmeyen tehdit aktörü kıdemli bir DevOps mühendisinden geçerli kimlik bilgilerini çalmayı ve bir LastPass veri kasasının içeriğine erişmeyi başardı. Diğer şeylerin yanı sıra, kasa, Amazon S3 kovalarında depolanan müşteri kasası yedeklemeleri için şifreleme anahtarlarını içeren paylaşılan bir bulut depolama ortamına erişim sağladı.

Başka bir bomba daha düştü
LastPass yetkilileri, “Bu, DevOps mühendisinin ev bilgisayarını hedef alarak ve uzaktan kod yürütme özelliğini etkinleştiren ve tehdit aktörünün keylogger kötü amaçlı yazılımını yerleştirmesine izin veren savunmasız bir üçüncü taraf medya yazılımı paketinden yararlanarak gerçekleştirildi" diye yazdı. “Tehdit aktörü, çalışan MFA ile kimlik doğrulaması yaptıktan sonra, çalışanın ana parolasını girildiği sırada yakalayabildi ve DevOps mühendisinin LastPass kurumsal kasasına erişim sağladı."

Hacklenen DevOps mühendisi, kurumsal kasaya erişimi olan dört LastPass çalışanından biriydi. Şifresi çözülmüş kasayı ele geçiren tehdit aktörü, “AWS S3 LastPass üretim yedeklerine, diğer bulut tabanlı depolama kaynaklarına ve bazı ilgili kritik veritabanı yedeklerine erişmek için gereken şifre çözme anahtarları" da dahil olmak üzere girişleri dışa aktardı.

Pazartesi günkü güncelleme, LastPass‘ın önceki iddiaların aksine, saldırganların hem şifreli hem de düz metin verilerini içeren müşteri kasası verilerini elde ettiğini ilk kez söyleyen bomba gibi bir güncelleme yayımlamasından iki ay sonra geldi. LastPass daha sonra, tehdit aktörünün ayrıca bir bulut depolama erişim anahtarı ve çift depolama konteyneri şifre çözme anahtarları elde ettiğini ve böylece şifrelenmiş depolama konteynerinden müşteri kasası yedekleme verilerinin kopyalanmasına izin verdiğini söyledi.

Yedekleme verileri, web sitesi URL’leri gibi şifrelenmemiş verilerin yanı sıra web sitesi kullanıcı adları ve parolaları, güvenli notlar ve 256 bit AES kullanılarak ek bir şifreleme katmanına sahip form doldurulmuş verileri içeriyordu. Yeni ayrıntılar, tehdit aktörünün S3 şifreleme anahtarlarını nasıl elde ettiğini açıklıyor.

Pazartesi günkü güncellemede, ilk olayda kullanılan taktik, teknik ve prosedürlerin ikincisinde kullanılanlardan farklı olduğu ve sonuç olarak araştırmacıların başlangıçta bu ikisinin doğrudan ilişkili olduğunu anlayamadığı belirtildi. İkinci olay sırasında tehdit aktörü, S3 kovalarında depolanan verileri numaralandırmak ve dışarı çıkarmak için ilk olay sırasında elde edilen bilgileri kullandı.

LastPass yetkilileri, “Bu olaylar sırasında uyarı ve günlük kaydı etkinleştirildi, ancak soruşturma sırasında geriye dönük olarak daha net hale gelen anormal davranışı hemen göstermedi" diye yazdı. “Özellikle tehdit aktörü, paylaşılan bir bulut depolama ortamına erişmek için üst düzey bir DevOps mühendisinden çaldığı geçerli kimlik bilgilerinden yararlanabildi ve bu da başlangıçta araştırmacıların tehdit aktörü faaliyeti ile devam eden meşru faaliyet arasında ayrım yapmasını zorlaştırdı."

LastPass ikinci olayı, tehdit aktörü yetkisiz faaliyet gerçekleştirmek için Bulut Kimlik ve Erişim Yönetimi (IAM) rollerini kullanmaya çalıştığında Amazon‘un anormal davranış uyarılarından öğrendi.

LastPass‘in özel raporu hakkında bilgi sahibi olan ve isminin açıklanmaması koşuluyla konuşan bir kişiye göre, çalışanın ev bilgisayarında istismar edilen medya yazılım paketi Plex‘ti. İlginç bir şekilde Plex, ikinci olayın başlamasından sadece 12 gün sonra, 24 Ağustos’ta kendi ağ izinsiz girişini bildirdi. Bu ihlal, tehdit aktörünün özel bir veritabanına erişmesine ve 30 milyon müşterisinden bazılarına ait şifre verileri, kullanıcı adları ve e-postalarla kaçmasına izin verdi. Plex, kullanıcıların film ve ses akışı yapmalarına, oyun oynamalarına ve evlerinde ya da şirket içi medya sunucularında barındırılan kendi içeriklerine erişmelerine olanak tanıyan önemli bir medya akış hizmetleri sağlayıcısıdır.

Plex ihlalinin LastPass izinsiz girişleriyle herhangi bir bağlantısı olup olmadığı net değil. LastPass ve Plex temsilcileri bu haber için yorum isteyen e-postalara yanıt vermedi.

LastPass ihlalinin arkasındaki tehdit aktörü özellikle becerikli olduğunu kanıtladı ve bir çalışanın ev bilgisayarındaki bir yazılım açığından başarıyla yararlandığının ortaya çıkması bu görüşü daha da güçlendiriyor. Bu durumda yapılması gereken, tüm LastPass kullanıcıları ana şifrelerini ve kasalarında sakladıkları tüm şifreleri değiştirmektir. Tehdit aktörünün her ikisine de erişimi olup olmadığı net olmasa da, önlemlerin alınması gerekiyor.

Bu içeriği beğendiyseniz lütfen çevrenizle paylaşınız…