“这真的非常糟糕”:Lapsus$ Gang 声称 Okta Hack

Lapsus$ 泄露微软源代码已经够糟糕的了。 违反 Okta 可能会变得更加糟糕。
“这真的非常糟糕”:Lapsus$ Gang 声称 Okta Hack

周一晚上, Lapsus $ 数字勒索团伙 发布了一系列越来越令人震惊的帖子 电报 频道 首先,该组织抛弃了它声称来自 微软必应搜索引擎 、必应地图和 Cortana 虚拟助手软件的大量源代码。 像微软这样规模庞大且具有安全意识的组织可能遭到破坏,这本身就很重要,但该组织随后发布了更令人震惊的消息:屏幕截图显然是在 1 月 21 日拍摄的,似乎显示 Lapsus$ 控制着 Okta 管理人员或“超级用户”帐户。

Okta 是一个几乎无处不在的 身份管理平台 ,成千上万的大型组织都在使用这些平台,这些组织希望让他们的员工或合作伙伴在不使用十几个密码的情况下轻松登录多个服务,而且最重要的是安全。 过去的违规行为(例如 2020 年 臭名昭著的 Twitter 崩溃 )源于攻击者 接管了 能够修改客户帐户的管理或支持帐户的访问权限。 攻击者使用这些系统权限来重置目标帐户密码、更改与受害者帐户相关联的电子邮件地址,并取得控制权。 当他们攻击 Twitter 帐户时,黑客可以锁定合法用户并从他们的个人资料中发布推文。 但是,当您对 Okta 等身份平台进行此类访问时,潜在的影响会呈指数级增长。

Lapsus$ 自去年 12 月问世以来一直风靡一时,它从包括英伟达、三星和育碧在内的越来越知名的公司那里窃取源代码和其他有价值的数据,并在明显的勒索企图中泄露这些数据。 但研究人员只是广泛地发现,攻击者似乎在使用 网络钓鱼 来危害他们的受害者。 目前尚不清楚一个以前不为人知且看似业余的组织是如何完成如此巨大的数据盗窃的。 现在看来,其中一些备受瞩目的违规行为可能源于该组织的 Okta 妥协。

“在 2022 年 1 月下旬,Okta 检测到有人企图破坏为我们的一个子处理器工作的第三方客户支持工程师的帐户。 此事已由分处理器进行调查和控制,”Okta 首席执行官 Todd McKinnon 。 在一份声明中说 “我们相信网上分享的截图与今年 1 月的活动有关。 根据我们迄今为止的调查,除了 1 月份检测到的活动之外,没有证据表明正在进行恶意活动。”

Okta 没有回答《连线》杂志的更多问题,包括反复询问该公司为何之前没有公开披露这一事件。

微软发言人周二早上表示,该公司“了解这些索赔并正在调查”。

在没有更多信息的情况下,尚不清楚 Lapsus$ 在 Okta 或其未命名的“子处理器”中究竟有多少访问权限。 攻击模拟和修复公司 Phobos Group 的创始人 Dan Tentler 表示,屏幕截图表明 Lapsus$ 破坏了 Okta 站点可靠性工程师的访问权限,作为基础设施维护和改进工作的一部分,该角色可能拥有广泛的系统权限。

“我所要做的就是这些截图,但这是 SolarWinds 2.0 的可能性不为零,”Tentler 说,他指的是去年 供应链攻击 由***情报黑客发起 攻击损害了一系列知名公司 和世界各地的政府机构首先渗透到 IT 管理平台 SolarWinds。 “这确实是一件大事。”

独立安全研究员比尔·德米尔卡皮 (Bill Demirkapi) 更加直言不讳:“这真的非常非常糟糕。”

Okta 大概已经意识到,如果攻击者入侵了具有高度特权的管理帐户,将会对其业务和客户造成严重威胁。 (在声称违规的消息传出后,该公司股价在周二上午下跌了约 6%。)Okta 没有回复 WIRED 就其针对此类访问的防御和监控工具发表评论的请求。 但 Demirkapi 指出,无论您添加多少层保护,“超级用户”帐户的存在都会造成曝光。 在此类帐户已登录时策略性地接管设备的攻击者,或者已经破坏了与该设备的 VPN 连接的攻击者可以冒充管理员帐户的合法用户。

Demirkapi 说,“这个想法是,对于像 Okta 这样的服务来说,进入该管理面板的访问控制将非常严格”。 “这里的问题是,Lapsus$ 似乎直接破坏了员工的机器,因此即使有这些访问控制,他们也可以搭载员工的访问权限。”

周二,即使是偶然牵涉到这种情况的公司也开始与 Okta 保持距离。 例如,互联网基础设施公司 Cloudflare 在一夜之间进行了调查,并表示已确认它没有因该事件而受到损害。 “值得庆幸的是,我们在 Okta 之外拥有多层安全性,并且永远不会将它们视为一个独立的选项。” 写道: 在 Twitter 上 他后来 补充说 ,“Okta 是一层安全保护。 鉴于他们可能有问题,我们正在评估该层的替代方案。”

关于 Lapsus$ 本身和该组织的动机的问题仍然存在。 研究人员一直发现,这是一个松散的、甚至是杂乱无章的集体,很可能总部设在南美洲,并且仍在发挥作用。 但是到目前为止,Lapsus$ 能够妥协的组织的规模和范围提出了一系列令人不寒而栗的可能性。 要么该组织是一个比事件响应者意识到或承认的更复杂的组织,要么世界上一些最关键的公司的安全性比以前想象的更加脆弱和不足。

Twitter 黑客 原来是 一名 17 岁的 Minecraft 骗子和其他虚荣心经纪人。 Lapsus$ 帮派真的可以为 lulz 烧掉它。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/9268.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
白马号白马号

相关推荐

  • 360电脑锁屏壁纸怎么关闭广告(手把手教你设置去广告的方法)

    昨天看到很多网友在说360的弹窗广告太多,没办法关掉,很恼火。我呢也回复了很多朋友,但是都是再说我乱说,让我发个教程,嘿,我还就不服这个气了,我今天还就花了点时间来写这篇文章了。 360卫士弹窗关闭方法。 这里只涉及360卫士的广告弹窗取消和过滤,不涉及360浏览器。这个方法可过滤99%的360卫士和360杀毒的弹窗广告和非360系的弹窗,电脑中毒除外。图片…

    2022-05-10 投稿
    00
  • flashhelperservice.exe可以删除吗(flashhelperservice是啥)

    FlashHelperService.exe是用于管理Adobe Flash Player的服务,它是Adobe Flash Player的一部分,可以检测和更新Adobe Flash Player的安全更新。 FlashHelperService.exe可以被删除,但是没有必要这么做。它是Adobe Flash Player的一部分,如果你删除它,Adob…

    2023-01-02
    00
  • 手机qq文件失效怎么恢复未下载(教你查看过期文件并下载原件)

    现在手机屏幕也比较大了,尤其是最近各大厂商的流行设计:全面屏,手机完全可以取代电脑的功能了。所以又很多朋友一部手机就可以办公了。 但是手机接收到的文件,如果没有及时备份的话,过几天再打开的时候就失效了。怎么办呢? 下载原件 对于及时通讯工具收到的文件,一定要点击“下载原文件”。 对于没有下载备份的文件 因为数据在清理的时候被清理过了,所以需要恢复才能查看。 …

    2022-04-27 投稿
    00
  • 梅捷NVIDIA显卡怎么样(梅捷NVIDIA显卡综合评估)

    梅捷(Meijie)作为一家知名的计算机硬件制造商,其NVIDIA显卡产品一直备受关注。在这篇文章中,我们将对梅捷NVIDIA显卡进行综合评估,探讨其性能、稳定性、适用场景以及与竞争对手的比较。 性能表现 首先,让我们关注梅捷NVIDIA显卡的性能表现。梅捷的显卡通常采用了NVIDIA最新的GPU架构,因此在图形处理和计算性能方面表现出色。这些显卡适用于各种…

    2023-09-22
    00
  • CentOS系统如何把IP从Fail2ban黑名单中移除

    CentOS系统如何把IP从Fail2ban黑名单中移除 介绍Fail2ban 如何解除Fail2ban的IP黑名单 结论 介绍Fail2ban Fail2ban是一款开源的安全软件,它可以监控系统日志,根据预先设定的规则来阻止恶意攻击者通过SSH等协议进行暴力破解。一旦Fail2ban检测到有多次密码错误的IP地址,它会将该IP地址自动加入黑名单,禁止该I…

    2023-06-22
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信