UBER HAS BEEN HACKED, rühmt sich Hacker – wie Sie verhindern können, dass Ihnen das passiert

Nach allem, und leider gibt es viele von ihnen, ein Hacker – in der brechen-und-dringen-sie-illegal-in-ihr-netzwerk ein Sinn, nicht in a Löse-super-hard-coding-probleme-auf-funky-weise Sinn – ist in den Mitfahrdienst Uber eingebrochen.

Gemäß einer berichten Laut BBC soll der Hacker erst 18 Jahre alt gewesen sein und den Angriff offenbar aus demselben Grund durchgeführt haben, der den berühmten britischen Bergsteiger antrieb George Mallory in den 1920er Jahren weiter zu versuchen (und letztendlich dabei zu sterben), den Mount Everest zu besteigen …

..."weil es da ist."

Uber hat verständlicherweise bisher nicht viel mehr gesagt [2022-09-16T15:45Z] als zu bekannt geben auf Twitter:

Wir reagieren derzeit auf einen Cybersicherheitsvorfall. Wir stehen in Kontakt mit den Strafverfolgungsbehörden und werden hier weitere Updates veröffentlichen, sobald sie verfügbar sind.

- Uber Comms (@Uber_Comms) 16. September 2022

Wie viel wissen wir bisher?

Wenn das Ausmaß des Eindringens so groß ist, wie der mutmaßliche Hacker basierend auf den Screenshots, die wir auf Twitter gesehen haben, vorgeschlagen hat, sind wir nicht überrascht, dass Uber noch keine spezifischen Informationen angeboten hat, insbesondere angesichts der Tatsache, dass dies der Fall ist Strafverfolgung an der Untersuchung beteiligt.

Wenn es um die Forensik von Cybervorfällen geht, ist die Teufel steckt wirklich im Detail.

Dennoch scheinen öffentlich verfügbare Daten, die angeblich vom Hacker selbst veröffentlicht und weit verbreitet wurden, darauf hinzudeuten, dass dieser Hack zwei zugrunde liegende Ursachen hatte, die wir mit einer mittelalterlichen Analogie beschreiben werden.

Der Eindringling:

• Einen Insider dazu gebracht, sie in den Hof zu lassen, oder Bailey. Das ist der Bereich innerhalb der äußersten Burgmauer, aber getrennt vom am besten verteidigten Teil.
• Unbeaufsichtigte Details gefunden, die erklären, wie man auf die Festung zugreift, oder Grassode. Wie der Name schon sagt, halten ist die zentrale Verteidigungsfestung einer traditionellen mittelalterlichen europäischen Burg.

Der erste Einbruch

Der Fachjargon dafür, sich in den Schlosshof des 21. Jahrhunderts einzuschleichen, lautet Social Engineering.

Wie wir alle wissen, gibt es sie viele Möglichkeiten dass Angreifer mit Zeit, Geduld und der Gabe des Geschwätzes sogar einen gut informierten und wohlmeinenden Benutzer davon überzeugen können, ihnen dabei zu helfen, die Sicherheitsprozesse zu umgehen, die sie abhalten sollen.

Automatisierte oder halbautomatische Social-Engineering-Tricks umfassen E-Mail- und IM-basierte Phishing-Betrügereien.

Diese Betrügereien verleiten Benutzer dazu, ihre Anmeldedaten, oft einschließlich ihrer 2FA-Codes, auf gefälschten Websites einzugeben, die wie das echte Geschäft aussehen, den Angreifern jedoch tatsächlich die erforderlichen Zugangscodes liefern.

Bei einem bereits eingeloggten und damit vorübergehend für seine aktuelle Sitzung authentifizierten Benutzer können Angreifer versuchen, an sog Cookies oder Zugriffstoken auf dem Computer des Benutzers.

Durch das Einschleusen von Malware, die beispielsweise bestehende Sitzungen kapert, können sich Angreifer lange genug als legitimer Benutzer ausgeben, um vollständig zu übernehmen, ohne dass die üblichen Anmeldeinformationen erforderlich sind, die der Benutzer selbst benötigt, um sich von Grund auf neu anzumelden:

Und wenn alles andere fehlschlägt – oder vielleicht sogar anstatt die oben beschriebenen mechanischen Methoden auszuprobieren – können die Angreifer einfach einen Benutzer anrufen und ihn bezaubern, oder ihn beschwatzen, betteln, bestechen oder schmeicheln oder ihn stattdessen bedrohen, je nachdem, wie das Gespräch entfaltet sich.

Geschickte Social Engineers sind oft in der Lage, wohlmeinende Benutzer davon zu überzeugen, die Tür nicht nur überhaupt zu öffnen, sondern sie auch offen zu halten, um den Angreifern den Zutritt zu erleichtern und vielleicht sogar die Taschen des Angreifers zu tragen und zu tragen Zeigen Sie ihnen, wohin sie als nächstes gehen sollen.

So wurde der berüchtigte Twitter-Hack von 2020 durchgeführt, bei dem 45 Twitter-Konten mit blauer Flagge, darunter die von Bill Gates, Elon Musk und Apple, übernommen und zur Förderung eines Kryptowährungsbetrugs verwendet wurden.

Dieses Hacking war weniger technisch als kulturell und wurde von Support-Mitarbeitern durchgeführt, die sich so sehr bemühten, das Richtige zu tun, dass sie am Ende genau das Gegenteil taten:

Voller Kompromiss

Der Jargonausdruck für das Äquivalent, vom Hof ​​in den Bergfried der Burg zu gelangen, lautet Erhöhung des Privilegs.

Typischerweise suchen und nutzen Angreifer bewusst intern bekannte Sicherheitslücken, obwohl sie keine Möglichkeit finden, diese von außen auszunutzen, weil die Verteidiger sich die Mühe gemacht haben, sich am Netzwerkrand dagegen zu schützen.

Zum Beispiel haben wir kürzlich in einer Umfrage über Eindringlinge veröffentlicht, die die Sophos Rapid Response Team im Jahr 2021 untersuchten, stellten wir fest, dass die Kriminellen bei nur 15 % der anfänglichen Eindringversuche – bei denen die Angreifer über die Außenmauer und in die Vorburg gelangen – mithilfe von RDP einbrechen konnten.

(RDP ist die Abkürzung für Remote-Desktop-Protokoll, und es handelt sich um eine weit verbreitete Windows-Komponente, mit der Benutzer X remote auf Computer Y arbeiten kann, wobei Y häufig ein Server ist, der keinen eigenen Bildschirm und keine eigene Tastatur hat und sich möglicherweise drei Stockwerke unter der Erde in einem Serverraum befindet , oder weltweit in einem Cloud-Rechenzentrum.)

Aber bei 80 % der Angriffe nutzten die Kriminellen RDP, sobald sie drinnen waren, um fast nach Belieben durch das Netzwerk zu wandern:

Ebenso besorgniserregend ist, wenn keine Ransomware im Spiel war (weil ein Ransomware-Angriff sofort offensichtlich macht, dass Sie verletzt wurden!), die mittlere durchschnittliche Zeit, die die Kriminellen waren unbemerkt durch das Netzwerk roamen war 34 Tage – mehr als ein Kalendermonat:

Der Uber-Vorfall

Wir sind uns noch nicht sicher, wie das anfängliche Social Engineering (im Hackerjargon zu SE abgekürzt) durchgeführt wurde, aber der Bedrohungsforscher Bill Demirkapi hat es getan hat einen Screenshot getwittert das scheint zu enthüllen (wobei genaue Details redigiert wurden), wie die Erhöhung der Privilegien erreicht wurde.

Anscheinend, obwohl der Hacker als normaler Benutzer gestartet war und daher nur Zugriff auf einige Teile des Netzwerks hatte…

… ein bisschen Herumirren und Schnüffeln auf ungeschützten Freigaben im Netzwerk ergab ein offenes Netzwerkverzeichnis, das eine Reihe von PowerShell-Skripten enthielt …

… die fest codierte Sicherheitsanmeldeinformationen für den Administratorzugriff auf ein Produkt enthielten, das im Fachjargon als PAM bekannt ist, kurz für Privileged Access Manager.

Wie der Name schon sagt, handelt es sich bei einem PAM um ein System, mit dem Anmeldeinformationen für alle (oder zumindest viele) andere Produkte und Dienste einer Organisation verwaltet und der Zugriff darauf kontrolliert werden.

Kurz gesagt, der Angreifer, der wahrscheinlich mit einem bescheidenen und vielleicht sehr begrenzten Benutzerkonto begann, stolperte über ein ueber-ueber-Passwort, das viele der ueber-Passwörter der globalen IT-Operationen von Uber freischaltete.

Wir sind nicht sicher, wie weit der Hacker roamen konnte, nachdem er die PAM-Datenbank geöffnet hatte, aber Twitter-Postings aus zahlreichen Quellen deuten darauf hin, dass der Angreifer in der Lage war, in einen Großteil der IT-Infrastruktur von Uber einzudringen.

Der Hacker hat angeblich Daten abgelegt, um zu zeigen, dass er auf mindestens die folgenden Geschäftssysteme zugegriffen hatte: Slack Workspaces; Die Bedrohungsschutzsoftware von Uber (oftmals noch salopp als Anti-Virus-); eine AWS-Konsole; Reise- und Speseninformationen des Unternehmens (einschließlich Mitarbeiternamen); eine virtuelle vSphere-Serverkonsole; eine Auflistung von Google Workspaces; und sogar Ubers eigener Bug-Bounty-Service.

(Anscheinend und ironischerweise war der Bug-Bounty-Dienst, wo der Hacker lautstark in Großbuchstaben prahlte, wie in der Überschrift gezeigt wird UBER WURDE GEHACKT.)

Was ist zu tun?

Es ist leicht, in diesem Fall mit dem Finger auf Uber zu zeigen und zu implizieren, dass dieser Verstoß als viel schlimmer als die meisten anderen angesehen werden sollte, einfach wegen der lauten und sehr öffentlichen Natur des Ganzen.

Aber die unglückliche Wahrheit ist, dass viele, wenn nicht die meisten modernen Cyberangriffe dazu führten, dass die Angreifer genau diesen Grad an Zugriff erhielten …

… oder zumindest potenziell diese Zugriffsebene zu haben, auch wenn sie letztendlich nicht überall herumstocherten, wo sie haben könnten.

Schließlich stellen viele Ransomware-Angriffe heutzutage nicht den Anfang, sondern das Ende eines Eindringens dar, das wahrscheinlich Tage oder Wochen gedauert hat und möglicherweise Monate gedauert hat, in denen es den Angreifern wahrscheinlich gelungen ist, sich selbst zu fördern gleichen Status wie der älteste Systemadministrator in der Firma, in die sie eingebrochen waren.

Aus diesem Grund sind Ransomware-Angriffe oft so verheerend – denn zum Zeitpunkt des Angriffs gibt es nur wenige Laptops, Server oder Dienste, auf die die Kriminellen keinen Zugriff erpresst haben, sodass sie fast buchstäblich in der Lage sind, alles zu verschlüsseln.

Mit anderen Worten, was Uber in diesem Fall passiert zu sein scheint, ist keine neue oder einzigartige Geschichte von Datenschutzverletzungen.

Hier sind einige zum Nachdenken anregende Tipps, die Sie als Ausgangspunkt verwenden können, um die allgemeine Sicherheit in Ihrem eigenen Netzwerk zu verbessern:

• Passwort-Manager und 2FA sind kein Allheilmittel. Die Verwendung gut gewählter Passwörter verhindert, dass Betrüger hineinraten, und 2FA-Sicherheit basierend auf einmaligen Codes oder Hardware-Zugriffstoken (normalerweise kleine USB- oder NFC-Dongles, die ein Benutzer mit sich führen muss) erschweren die Dinge, oft viel schwieriger, denn Angreifer. Aber gegen die heutigen sog Von Menschen geführte Angriffe, wo sich „aktive Gegner“ persönlich und direkt in das Eindringen einmischen, müssen Sie Ihren Benutzern helfen, ihr allgemeines Online-Verhalten zu ändern, damit sie weniger wahrscheinlich dazu überredet werden, Verfahren zu umgehen, unabhängig davon, wie umfassend und komplex diese Verfahren sein mögen.
• Sicherheit gehört überall im Netzwerk, nicht nur am Rand. Heutzutage benötigen sehr viele Benutzer Zugriff auf zumindest einen Teil Ihres Netzwerks – Mitarbeiter, Auftragnehmer, Zeitarbeitskräfte, Sicherheitspersonal, Lieferanten, Partner, Reinigungskräfte, Kunden und mehr. Wenn es sich lohnt, eine Sicherheitseinstellung an Ihrem Netzwerkperimeter zu verschärfen, dann muss sie mit ziemlicher Sicherheit auch „innerhalb“ verschärft werden. Dies gilt insbesondere für das Patchen. Wie wir bei Naked Security gerne sagen, „Frühzeitig patchen, oft patchen, überall patchen.“
• Messen und testen Sie Ihre Cybersicherheit regelmäßig. Gehen Sie niemals davon aus, dass die Vorsichtsmaßnahmen, die Sie getroffen zu haben glaubten, wirklich funktionieren. Gehen Sie nicht davon aus; immer überprüfen. Denken Sie auch daran, dass Ihre Vorsichtsmaßnahmen regelmäßig überprüft werden müssen, da ständig neue Tools, Techniken und Verfahren für Cyberangriffe auftauchen. In einfachen Worten, „Cybersicherheit ist eine Reise, kein Ziel.“
• Ziehe in Erwägung, dir Hilfe von Experten zu holen. Anmeldung für a Managed Detection and Response (MDR)-Service ist kein Eingeständnis eines Versagens oder ein Zeichen dafür, dass Sie Cybersicherheit selbst nicht verstehen. MDR ist keine Aufhebung Ihrer Verantwortung – es ist einfach eine Möglichkeit, engagierte Experten zur Seite zu haben, wenn Sie sie wirklich brauchen. MDR bedeutet auch, dass Ihre eigenen Mitarbeiter im Falle eines Angriffs nicht alles fallen lassen müssen, was sie gerade tun (einschließlich regelmäßiger Aufgaben, die für die Kontinuität Ihres Unternehmens von entscheidender Bedeutung sind) und somit möglicherweise andere Sicherheitslücken offen lassen.
• Verfolgen Sie einen Zero-Trust-Ansatz. Zero-Trust bedeutet nicht wörtlich, dass Sie niemandem vertrauen, etwas zu tun. Es ist eine Metapher für „keine Annahmen machen“ und „niemals jemanden dazu autorisieren, mehr zu tun, als er unbedingt benötigt“. Zero-Trust-Netzwerkzugriff (ZTNA)-Produkte funktionieren nicht wie herkömmliche Netzwerksicherheitstools wie VPNs. Ein VPN bietet im Allgemeinen eine sichere Möglichkeit für jemanden von außen, allgemeinen Zugang zum Netzwerk zu erhalten, wonach er oft viel mehr Freiheit genießt, als er wirklich braucht, und ihm erlaubt, herumzustreifen, herumzuschnüffeln und nach den Schlüsseln zum Rest des Schlosses zu suchen. Der Zero-Trust-Zugriff verfolgt einen viel granulareren Ansatz. Wenn Sie also nur die neueste interne Preisliste durchsuchen müssen, erhalten Sie diesen Zugriff. Sie haben auch nicht das Recht, in Support-Foren zu wandern, Verkaufsunterlagen zu durchsuchen oder Ihre Nase in die Quellcode-Datenbank zu stecken.
• Richten Sie eine Cybersecurity-Hotline für Mitarbeiter ein, falls Sie noch keine haben. Machen Sie es jedem leicht, Cybersicherheitsprobleme zu melden. Egal, ob es sich um einen verdächtigen Telefonanruf, einen unwahrscheinlichen E-Mail-Anhang oder auch nur um eine Datei handelt, die wahrscheinlich nicht im Netzwerk vorhanden sein sollte, haben Sie einen einzigen Ansprechpartner (z securityreport@yourbiz.example), sodass Ihre Kollegen schnell und einfach anrufen können.
• Gib niemals Menschen auf. Technologie allein kann nicht alle Ihre Cybersicherheitsprobleme lösen. Wenn Sie Ihre Mitarbeiter mit Respekt behandeln und wenn Sie die Cybersicherheitseinstellung einnehmen „Es gibt keine dumme Frage, nur eine dumme Antwort“, dann können Sie jeden in der Organisation zu Augen und Ohren Ihres Sicherheitsteams machen.

---

Besuchen Sie uns vom 26. bis 29. September 2022 für die diesjährige Sophos Security SOS-Woche:

Vier kurze, aber spannende Gespräche mit Weltexperten.

Erfahren Sie mehr über Schutz, Erkennung und Reaktion,
und wie Sie Ihr eigenes erfolgreiches SecOps-Team aufbauen:

---