MKD-CIRT National Centre for Computer Incident Response
LastPass, кој во декември 2022 година откри сериозно пробивање на податоците што им овозможи на напаѓачите да пристапат до шифрирани сефови за лозинки, изјави дека тоа се случило како резултат на истиот напаѓач кој извршил втор напад врз неговите системи.
Компанијата соопшти дека на еден од DevOps инженерите му бил пробиен персоналниот домашен компјутер и бил заразен со keylogger како дел од постојан сајбер напад кој ексфилтрирал чувствителни податоци од серверите за складирање во облак на Amazon AWS.
„Напаѓачот искористил информации украдени за време на првиот инцидент, информации достапни од пробивање на податоци од трета страна и ранливост во медиумски софтверски пакет од трета страна за да започне координиран втор напад“, соопшти услугата за управување со лозинки.
Овој упад ги таргетираше инфраструктурата, ресурсите на компанијата и еден од вработените од 12 август 2022 до 26 октомври 2022 година. Оригиналниот инцидент, од друга страна, заврши на 12 август 2022 година.
Пробивањето во август им овозможи на напаѓачите да пристапуваат до изворниот код и сопствените технички информации од неговата развојна околина со помош на една компромитирана сметка на вработен.
Во декември 2022 година, LastPass откри дека напаѓачот ги искористил украдените информации за да пристапи до околина за складирање базирана на облак и да добие „одредени елементи од информациите за нашите клиенти“.
Подоцна во истиот месец, непознатиот напаѓач беше обелоденет дека добил пристап до резервна копија од податоците од сефот на клиентите за кои изјави дека се заштитени со 256-битна AES шифрирање.
GoTo, матичната компанија на LastPass, исто така откри дека има пробивање минатиот месец поради неовластен пристап до услугата за складирање во облак од трета страна.
Според компанијата, напаѓачот се вклучил во нова серија „активности за извидување, попишување и ексфилтрација“ насочени кон услугата за складирање во облак помеѓу август и октомври 2022 година.
„Конкретно, напаѓачот можеше да користи валидни акредитиви украдени од постар DevOps инженер за да пристапи до заедничка средина за складирање во облак“, изјави LastPass, додавајќи дека инженерот „имал пристап до клучевите за дешифрирање потребни за пристап до услугата за складирање во облак“.
Ова му овозможи на напаѓачот да добие пристап до AWS S3 во кои се сместени резервните копии на клиентите на LastPass.
Лозинките на вработениот биле избришани со таргетирање на домашниот компјутер на поединецот и користење на „ранлив медиумски софтверски пакет од трета страна“ за да се постигне далечинско извршување на кодот и да се постави софтвер за клучеви.
„Напаѓачот можеше да ја сними главната лозинка на вработениот како што беше внесена, откако вработениот се автентицира со MFA и да добие пристап до корпоративниот трезор на инженерот DevOps LastPass“, изјави LastPass.
LastPass не го откри името на користениот медиумски софтвер од трета страна, но индикациите се дека тоа би можело да биде Plex врз основа на фактот дека претрпе пробивање кон крајот на август 2022 година.
По инцидентот, LastPass изјави дека применил дополнителни мерки за зацврстување на S3 за да воспостави механизми за евиденција и предупредување.
На корисниците на LastPass им се препорачува да ги променат своите главни лозинки за да ги ублажат потенцијалните ризици, доколку веќе не се направени.
Извор: TheHackerNews
