Okta-Agent in Verstoß gegen MGM Resorts verwickelt, behaupten Angreifer

Neuauflage von Plato

Verfolger: 0

Okta-Agent in MGM Resorts-Verletzung verwickelt, Angreifer behaupten PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.

Hinweis: Diese Geschichte wurde aktualisiert und enthält nun Kommentare von David Bradbury, Chief Security Officer von Okta.

Die Bedrohungsakteure, von denen angenommen wird, dass sie hinter den Cyberangriffen auf MGM Resorts und Caesars Entertainment in der vergangenen Woche stecken, geben nun an, dass sie in die Systeme von MGM eindringen konnten, indem sie irgendwie in die Okta-Plattform des Unternehmens eindrangen, insbesondere in den Okta Agent, den einfachen Client, der eine Verbindung zum Active Directory einer Organisation herstellt.

Okta ist ein beliebter Anbieter für Identitäts- und Zugriffsmanagement (IAM). für die Cloud.

„MGM traf die übereilte Entscheidung, jeden einzelnen ihrer Okta Sync-Server herunterzufahren, nachdem wir erfahren hatten, dass wir in ihren Okta Agent-Servern lauerten und Passwörter von Personen ausspionierten, deren Passwörter nicht aus den Hash-Dumps ihrer Domänencontroller geknackt werden konnten“, ALPHV schrieb auf seiner Leak-Seite in einer Stellungnahme, dass Emsisoft-Forscher Brett Callow getwittert. „Dies führte dazu, dass ihr Okta komplett out war.“

Die ALPHV-Erklärung fügte hinzu, dass die Bedrohungsgruppe, nachdem sie einen Tag lang bei Okta herumlungerte und Passwörter erbeutete, dann am 1,000. September Ransomware-Cyberangriffe gegen mehr als 11 ESXi-Hypervisoren startete, „…nachdem sie versucht hatte, mit MGM in Kontakt zu treten, aber fehlschlug, “, heißt es in der Erklärung.

Die Ransomware-Gruppe machte deutlich, dass MGM Resorts nicht mit ihnen verhandelt und droht mit weiteren Maßnahmen, falls keine finanzielle Vereinbarung getroffen wird.

„Wir haben weiterhin Zugriff auf einen Teil der MGM-Infrastruktur“, heißt es in der ALPHV-Erklärung. „Wenn keine Einigung zustande kommt, werden wir weitere Angriffe durchführen.“ Die Gruppe sagte auch, dass sie die Daten, die sie an Troy Hunt von Have I Been Pwned weitergegeben hatte, zur verantwortungsvollen Offenlegung freigeben würde, wenn er dies wolle.

ALPHV (auch bekannt als BlackCat) ist der Name des Ransomware as a Service (RaaS)-Betreibers, der das bereitgestellt hat Bedrohungsgruppe Scattered Spider mit der Malware und den Supportdiensten, um das zu schaffen Casino-Cyberangriffe.

Oktas August-Warnung vor Social-Engineering-Angriffen

David Bradbury, Chief Security Officer von Okta, bestätigt, dass der Cyberangriff auf MGM eine Social-Engineering-Komponente hatte, fügt jedoch hinzu, dass er erfolgreich war, weil die Bedrohungsakteure klug genug waren, ihren eigenen Identitätsanbieter (IDP) und ihre Benutzerdatenbank im Okta-System bereitzustellen.

„Der menschliche Teil war einfach, aber der anschließende Teil des Angriffs war komplex“, sagt er.

Die Möglichkeit, mehrere Identitätsuntergruppen zu erstellen, sei eine Funktion des Okta-Systems und kein Fehler, fügt Bradbury hinzu. Er schlägt vor, einen visuellen Verifizierungsschritt am Helpdesk nur für die Benutzer mit den höchsten Zugriffsrechten einzuführen, um diese Cyberangriffe zu stoppen.

Okta warnte Auf das Potenzial für Social-Engineering-Angriffe dieser Art wurde am 31. August in einer Warnung aufmerksam gemacht, in der detailliert auf Versuche auf Okta-Systemen hingewiesen wurde, durch Social Engineering hochprivilegierten Zugriff zu erlangen.

„In den letzten Wochen haben mehrere in den USA ansässige Okta-Kunden ein konsistentes Muster gemeldet Social-Engineering-Angriffe gegen ihr IT-Servicedesk-Personal, bei dem die Strategie des Anrufers darin bestand, das Servicedesk-Personal davon zu überzeugen, alle Multi-Faktor-Authentifizierungsfaktoren (MFA) zurückzusetzen, die von hochprivilegierten Benutzern registriert wurden“, warnte Okta. „Die Angreifer nutzten dann ihre Kompromittierung hochprivilegierter Okta-Super-Administrator-Konten aus, um legitime Identitätsföderationsfunktionen zu missbrauchen, die es ihnen ermöglichten, sich als Benutzer innerhalb der kompromittierten Organisation auszugeben.“

Okta hat sich auch sehr öffentlich darüber geäußert Beziehung zu MGM, arbeitet mit dem Hotelunternehmen zusammen, um laut seiner Website „die Bausteine für das ultimative Gästeerlebnis“ bereitzustellen.

Bradbury sagt, Okta werde weiterhin mit Caesars und MGM an der Reaktion und Wiederherstellung zusammenarbeiten und bestätigt damit auch Oktas Rolle bei der Verletzung der Caesars.

Neue Welle von MFA-Missbrauch wahrscheinlich

Laut Callie Guenther, Senior Manager für Bedrohungsforschung bei Critical Start, könnte dies besorgniserregend der erste einer neuen Welle von Cyberangriffen sein, die auf Benutzer mit hohen Privilegien abzielen. Okta ist schließlich bereits ein beliebtes Ziel unter Cybercrime-Akteuren.

„Angesichts seiner zentralen Bedeutung in den IAM-Strategien vieler Unternehmen ist Okta natürlich ein attraktives Ziel“, sagt Guenther. „Der Schlüssel liegt nicht darin, diese Systeme als von Natur aus fehlerhaft zu betrachten, sondern darin, die Bedeutung einer robusten Sicherheitshygiene, einer kontinuierlichen Überwachung und des schnellen Austauschs von Bedrohungsinformationen zu erkennen.“

Laut Aaron Painter, CEO von Nametag, einem Anbieter von Helpdesk-Cybersicherheitstools, ist das eigentliche Problem nicht Okta selbst. Vielmehr liegt es einfach an der Tatsache, dass MFA darauf ausgelegt ist, Geräte und nicht Personen zu identifizieren.

„Diese Sicherheitslücke betrifft nicht nur MGM oder Okta. Es handelt sich um ein systemisches Problem bei der Multi-Faktor-Authentifizierung“, sagt Painter. „MFA überprüft Geräte, nicht Personen. Es mangelt an sicherer Registrierung und Wiederherstellung – zwei Momente, in denen Sie wissen müssen, welche Person authentifiziert wird. Dies ist ein bekanntes Problem, für dessen Lösung MFA nicht entwickelt wurde.“

Das ist eine sich entwickelnde Geschichte.