Tomáš Havran
Po zprávách o kybernetickém útoku na Uber a jeho IT infrastrukturu a přístupu k citlivým zákaznickým datům získává lidský prvek v tomto příběhu na síle a pozornost se obrací k vícefaktorové autentizaci (MFA) a dalším bezpečnostním otázkám. Nejlepší postupy zabezpečení identity. Proto, jak je známo více podrobností o příběhu, je nevyhnutelné položit si otázku: „Opravdu záleží na tom, kdo byl útočník nebo jak se dostal dovnitř? Protože jakmile se Uber ujal tohoto útoku, stalo se tak notoricky známé to, co se stalo potom.
Na základě dostupných analýz a zpráv CyberArk Red Team dekonstruoval kybernetický útok na Uber se zaměřením na „pevně zakódované“ přihlašovací údaje, skutečný bolestivý bod útoku, protože byly údajně použity k získání administrativního přístupu k privilegovanému přístupu organizace (PAM), poskytovanému jiným poskytovatelem, což odemyklo další přístup před vysokým rizikem. V tomto smyslu, Shay Nahari, viceprezident, CyberArk Red-Team Services, komentoval. „Velká část analýz kybernetického útoku Uber se soustředila na sociální inženýrství a několik vektorů útoků MFA, ale skutečný zlom pro útok nastal po počátečním vloupání. Přítomnost vložených přihlašovacích údajů na nesprávně nakonfigurované síťové sdílené položce je zásadní pro dekonstrukci tohoto útoku. Právě přístupové údaje k řešení PAM vložené do skriptu PowerShell umožnily útočníkovi získat přístup na vysoké úrovni, eskalovat oprávnění a získat přístup k IT systémům Uberu. Proaktivní ochrana se opírá o implementaci více vrstev zabezpečení, ale jak tento útok narůstá, nejdůležitější lekcí je přijmout narušení bezpečnosti.“
Velká část analýz kybernetického útoku Uber se zaměřila na sociální inženýrství.
Dekonstrukce kybernetického útoku Uber, krok za krokem: co údajně víme
Fáze 1: Počáteční přístup. Útočník pronikl do IT prostředí Uberu tím, že získal přístup k přihlašovacím údajům k firemní infrastruktuře VPN.
Fáze 2: Objevování. Dodavatel s největší pravděpodobností neměl speciální nebo zvýšená oprávnění k citlivým zdrojům, ale měl přístup ke sdílenému síťovému disku, stejně jako ostatní pracovníci Uberu. Tato sdílená síť byla buď otevřená, nebo byla špatně nakonfigurována tak, aby umožňovala široké čtení ACL (seznam řízení přístupu). V rámci síťové sdílené položky útočník objevil skript PowerShell obsahující vložené privilegované přihlašovací údaje pro řešení PAM společnosti Uber.
V případě porušení Uberu zakódované přihlašovací údaje udělily administrativní přístup k řešení správy privilegovaného přístupu. Také se zdá, že tyto přihlašovací údaje nebyly nějakou dobu změněny, takže je mnohem snazší využít.
Fáze 3: Eskalace privilegií, přístup k systému PAM. Shromážděním přihlašovacích údajů správce pro řešení správy privilegovaného přístupu mohl útočník dále eskalovat oprávnění.
Fáze 4: Získejte přístup k tajemstvím systému PAM, dostaňte se do kritických systémů společnosti. Podle poslední aktualizace Uberu útočník získal „zvýšená oprávnění pro různé nástroje“. Útočník tím, že zpřístupnil tajemství řešení pro správu privilegovaného přístupu, údajně ohrozil přístup k jednotnému přihlášení (SSO) a konzolím a také ke konzoli pro správu cloudu, kde Uber uchovává citlivá data (finanční a zákaznická).
Fáze 5: Exfiltrace dat. uber následuje vyšetřování incidentu, ale potvrdilo, že útočník „stáhl některé interní zprávy Slack a získal nebo stáhl informace z interního nástroje, který náš finanční tým používá ke správě některých faktur“.
Proaktivní ochrana vyžaduje hloubkovou ochranu, kombinaci doplňkových bezpečnostních vrstev, které podporují strategii Zero Trust, která využívá silné kontroly nejmenších oprávnění. Proto, aby se snížilo kybernetické riziko, od Kybernetická archa Doporučujeme zaměřit se na inventarizaci prostředí, abyste našli a odstranili vložené přihlašovací údaje, které existují v kódu, konfiguracích PaaS, nástrojích DevOps a interně vyvinutých aplikacích.
Čerpáme z těchto zdrojů: google.com, science.org, newatlas.com, wired.com, pixabay.com
