UBER ON HAKKOITTU, ylpeilee hakkereilla – kuinka estää sen tapahtumasta sinulle

Kaiken kaikkiaan, ja valitettavasti heitä on monia, hakkeri - sisällä katkaise ja syötä-verkkoosi-laittomasti mielessä, ei a ratkaise-super-kova-koodaus-ongelmia-miellyttävällä tavalla sense – on murtautunut kyytiyhtiö Uberiin.

Mukaan raportti BBC:n mukaan hakkerin sanotaan olevan vain 18-vuotias, ja hän näyttää päässeensä hyökkäykseen samasta syystä, joka tunnetusti ajoi brittiläisen vuorikiipeilijän. George Mallory jatkaa yrittämistä (ja viime kädessä kuolemaa yrittäessään) nousta Mount Everestin huipulle 1920-luvulla…

..."koska se on siellä."

Ymmärrettävästi Uber ei ole toistaiseksi sanonut paljon muuta [2022-09-16T15:45Z] kuin ilmoittaa Twitterissä:

Vastaamme parhaillaan kyberturvallisuushäiriöön. Olemme yhteydessä lainvalvontaviranomaisiin ja julkaisemme tänne lisää päivityksiä, kun niitä tulee saataville.

- Uber Comms (@Uber_Comms) Syyskuu 16, 2022

Kuinka paljon tiedämme tähän mennessä?

Jos tunkeutumisen laajuus on niin laaja kuin väitetty hakkeri on ehdottanut, Twitterissä nähmiemme kuvakaappausten perusteella emme ole yllättyneitä siitä, ettei Uber ole vielä tarjonnut mitään erityistä tietoa, varsinkin kun otetaan huomioon, että lainvalvontaviranomaiset ovat mukana tutkinnassa.

Mitä tulee kybertapahtumien rikostekniseen tutkimiseen, paholainen on todellakin yksityiskohdissa.

Siitä huolimatta julkisesti saatavilla olevat tiedot, jotka hakkeri itse julkaisi ja joita levitettiin laajalti, näyttävät viittaavan siihen, että tällä hakkereella oli kaksi taustalla olevaa syytä, joita kuvataan keskiaikaisella analogialla.

Tunkeilija:

• Huijannut sisäpiiriläisen päästämään heidät sisäpihalle, tai linnanpiha. Se on alue uloimman linnan muurin sisällä, mutta erillään parhaiten puolustusta osasta.
• Löytyi vartioimattomia yksityiskohtia, jotka selittävät, miten säilytykseen pääsee, tai saatana. Kuten nimi ehdottaa, pitää on perinteisen keskiaikaisen eurooppalaisen linnan keskuspuolustuslinnoitus.

Alkumurto

Jargon-termi, joka kuvaa tiesi 21-luvun vastaavaan linnan pihaan, on sosiaalinen suunnittelu.

Kuten me kaikki tiedämme, niitä on monia tapoja että hyökkääjät, joilla on aikaa, kärsivällisyyttä ja lahjaa, voivat suostutella jopa hyvin perillä olevan ja hyvää tarkoittavan käyttäjän auttamaan heitä ohittamaan tietoturvaprosessit, joiden oletetaan pitävän heidät poissa.

Automatisoituja tai puoliautomaattisia sosiaalisen manipuloinnin temppuja ovat sähköposti- ja pikaviestipohjaiset tietojenkalasteluhuijaukset.

Nämä huijaukset houkuttelevat käyttäjiä syöttämään kirjautumistietonsa, usein myös 2FA-koodinsa, väärennetyille verkkosivustoille, jotka näyttävät todellisilta mutta itse asiassa toimittavat tarvittavat pääsykoodit hyökkääjille.

Käyttäjälle, joka on jo kirjautunut sisään ja siten tilapäisesti todennettu nykyistä istuntoa varten, hyökkääjät voivat yrittää saada ns. evästeitä tai käyttöoikeuksia käyttäjän tietokoneella.

Istuttamalla haittaohjelmia, jotka kaappaavat esimerkiksi olemassa olevia istuntoja, hyökkääjät voivat naamioitua lailliseksi käyttäjäksi riittävän pitkään ottaakseen vallan kokonaan ilman tavanomaisia ​​tunnistetietoja, joita käyttäjä itse vaati kirjautuakseen tyhjästä:

Ja jos mikään muu epäonnistuu – tai ehkä jopa yllä kuvattujen mekaanisten menetelmien kokeilemisen sijaan – hyökkääjät voivat yksinkertaisesti kutsua käyttäjän ja hurmata hänet, tai kierrellä, kerjätä, lahjoa, kiusata tai uhkailla sen sijaan, riippuen siitä, miten keskustelu avautuu.

Taitavat sosiaaliset insinöörit pystyvät usein vakuuttamaan hyvää tarkoittavat käyttäjät paitsi avaamaan oven, myös pitämään sen auki, jotta hyökkääjien on entistä helpompi päästä sisään ja ehkä jopa kantaa hyökkääjän laukkuja ja näyttää heille, minne mennä seuraavaksi.

Näin toteutettiin vuoden 2020 pahamaineinen Twitter-hakkerointi, jossa 45 sinisen lipun Twitter-tiliä, mukaan lukien Bill Gatesin, Elon Muskin ja Applen tilit, otettiin haltuun ja niitä käytettiin kryptovaluuttahuijauksen edistämiseen.

Tämä hakkerointi ei ollut niinkään teknistä kuin kulttuurista, ja sen suoritti tukihenkilöstö, joka yritti niin kovasti tehdä oikein, että he päätyivät toimimaan juuri päinvastoin:

Täysi kompromissi

Jargon termi, joka vastaa sisäpihalta pääsemistä linnan vartioon, on etuoikeuden korottaminen.

Tyypillisesti hyökkääjät etsivät ja käyttävät tietoisesti tunnettuja tietoturva-aukkoja sisäisesti, vaikka he eivät löytäneet tapaa hyödyntää niitä ulkopuolelta, koska puolustajat olivat vaivanneet suojautuakseen niitä vastaan ​​verkon kehällä.

Esimerkiksi äskettäin julkaisemassamme tunkeutumista koskevassa kyselyssä Sophos Rapid Response Vuonna 2021 tutkimassamme tiimissä havaitsimme, että vain 15 %:ssa ensimmäisistä tunkeutumisista – joissa hyökkääjät pääsivät ulkoseinän yli ja kaulaan – rikolliset onnistuivat murtautumaan sisään RDP:tä käyttämällä.

(RDP on lyhenne sanoista etätyöpöytäprotokolla, ja se on laajalti käytetty Windows-komponentti, joka on suunniteltu antamaan käyttäjälle X työskennellä etänä tietokoneella Y, jossa Y on usein palvelin, jolla ei ole omaa näyttöä ja näppäimistöä ja joka voi todellakin olla kolme kerrosta maan alla palvelinhuoneessa. tai ympäri maailmaa pilvitietokeskuksessa.)

Mutta 80 prosentissa hyökkäyksistä rikolliset käyttivät RDP:tä sisälle tultuaan vaeltamaan melkein mielellään koko verkossa:

Yhtä huolestuttavaa on, että kun ransomware ei ollut mukana (koska kiristysohjelmahyökkäys tekee heti selväksi, että sinut on rikottu!), keskimääräinen keskimääräinen aika, jonka rikolliset olivat. roaming verkossa huomaamatta oli 34 päivää – enemmän kuin kalenterikuukausi:

Uberin tapaus

Emme ole vielä varmoja siitä, kuinka alkuperäinen sosiaalinen suunnittelu (lyhennettynä SE hakkerointislangissa) suoritettiin, mutta uhkatutkija Bill Demirkapi on twiitti kuvakaappauksen joka näyttää paljastavan (tarkkoja yksityiskohtia muokattuna), kuinka etuoikeuden korottaminen saavutettiin.

Ilmeisesti vaikka hakkeri aloitti tavallisena käyttäjänä ja siksi hänellä oli pääsy vain joihinkin verkon osiin…

…hieman verkon suojaamattomien osien vaeltamista ja nuuskimista paljasti avoimen verkkohakemiston, joka sisälsi joukon PowerShell-skriptejä…

…joka sisälsi kovakoodatut suojaustunnukset järjestelmänvalvojan pääsyä varten tuotteeseen, joka tunnetaan ammattikielessä nimellä PAM, lyhenne sanoista Etuoikeutettu pääsynhallinta.

Kuten nimestä voi päätellä, PAM on järjestelmä, jota käytetään kaikkien (tai ainakin useiden) muiden organisaation käyttämien tuotteiden ja palvelujen valtuustietojen hallintaan ja pääsyn hallintaan.

Hyökkääjä, joka aloitti luultavasti vaatimattomalla ja ehkä hyvin rajoitetulla käyttäjätilillä, törmäsi uteliaana sanoen ueber-ueber-salasanaan, joka avasi monet Uberin globaalien IT-toimintojen ueber-salasanat.

Emme ole varmoja, kuinka laajasti hakkeri pystyi vaeltamaan PAM-tietokannan avattuaan, mutta Twitter-viestit useista lähteistä viittaavat siihen, että hyökkääjä onnistui tunkeutumaan suureen osaan Uberin IT-infrastruktuurista.

Hakkerin väitettiin jättäneen tietoja osoittaakseen, että he olivat käyttäneet ainakin seuraavia liiketoimintajärjestelmiä: Slack työtilat; Uberin uhkien suojausohjelmisto (johon viitataan usein vielä satunnaisesti nimellä anti-virus); AWS-konsoli; yrityksen matka- ja kulutiedot (mukaan lukien työntekijöiden nimet); vSphere-virtuaalipalvelinkonsoli; luettelo Google Workspacesistä; ja jopa Uberin oma bug bounty -palvelu.

(Ilmeisesti ja ironista kyllä, bug bounty -palvelussa hakkeri kehuskeli äänekkäästi isoilla kirjaimilla, kuten otsikossa näkyy, että UBER ON HAKKOITTU.)

Mitä tehdä?

Tässä tapauksessa on helppo osoittaa sormella Uberia ja antaa ymmärtää, että tätä rikkomusta pitäisi pitää paljon pahempana kuin useimmat, yksinkertaisesti siksi, että se on äänekäs ja erittäin julkinen.

Mutta valitettava totuus on, että monet, elleivät useimmat nykyajan kyberhyökkäykset ovat olleet mukana hyökkääjissä, jotka ovat saaneet juuri tämän pääsyn...

…tai ainakin potentiaalisesti tällä käyttöoikeustasolla, vaikka he eivät viime kädessä tönäisi kaikkialla, missä heillä olisi ollut.

Loppujen lopuksi monet kiristysohjelmahyökkäykset eivät nykyään edusta tunkeutumisen alkua vaan loppua, joka luultavasti kesti päiviä tai viikkoja ja on voinut kestää kuukausia, jona aikana hyökkääjät onnistuivat todennäköisesti mainostamaan itseään yhtäläinen asema vanhimman järjestelmänvalvojan kanssa yhtiössä, jonka he olivat rikkoneet.

Tästä syystä lunnasohjelmahyökkäykset ovat usein niin tuhoisia – koska hyökkäyksen tullessa rikolliset eivät ole kiistäneet pääsyä kannettaviin tietokoneisiin, palvelimiin tai palveluihin, joten he pystyvät melkein kirjaimellisesti salaamaan kaiken.

Toisin sanoen se, mikä näyttää tapahtuneen Uberille tässä tapauksessa, ei ole uusi tai ainutlaatuinen tietomurtotarina.

Joten tässä on muutamia ajatuksia herättäviä vinkkejä, joita voit käyttää lähtökohtana oman verkkosi yleisen turvallisuuden parantamiseen:

• Salasanojen hallinta ja 2FA eivät ole ihmelääke. Hyvin valittujen salasanojen käyttäminen estää huijareita arvaamasta tiensä sisään, ja 2FA-suojaus, joka perustuu kertaluontoisiin koodeihin tai laitteiston käyttötunnisteisiin (yleensä pienet USB- tai NFC-salasanat, joita käyttäjän pitää kuljettaa mukana) tekee asioista vaikeampaa, usein paljon vaikeampaa. hyökkääjät. Mutta vastaan ​​nykypäivän ns ihmisen johtamia hyökkäyksiä, jossa "aktiiviset vastustajat" osallistuvat henkilökohtaisesti ja suoraan tunkeutumiseen, sinun on autettava käyttäjiäsi muuttamaan yleistä verkkokäyttäytymistään, jotta he eivät todennäköisesti joudu sivuuttamaan toimenpiteitä riippumatta siitä, kuinka kattavia ja monimutkaisia ​​ne ovat.
• Tietoturva kuuluu kaikkialle verkossa, ei vain reunalla. Nykyään hyvin monet käyttäjät tarvitsevat pääsyn ainakin johonkin verkkoosi – työntekijät, urakoitsijat, väliaikaiset työntekijät, vartijat, tavarantoimittajat, kumppanit, siivoojat, asiakkaat ja paljon muuta. Jos suojausasetusta kannattaa tiukentaa tavalla, joka tuntuu verkon kehältä, se tarvitsee lähes varmasti tiukentamista myös "sisälle". Tämä koskee erityisesti paikkaamista. Kuten Naked Securityssa haluamme sanoa, "Paikkaa aikaisin, paikata usein, korjaa kaikkialla."
• Mittaa ja testaa kyberturvallisuuttasi säännöllisesti. Älä koskaan oleta, että varotoimet, jotka luulit käyttäväsi, todella toimivat. Älä oleta; aina tarkistaa. Muista myös, että koska uusia kyberhyökkäystyökaluja, tekniikoita ja menettelytapoja ilmaantuu jatkuvasti, varotoimet on tarkistettava säännöllisesti. Yksinkertaisin sanoin, "Kyberturvallisuus on matka, ei määränpää."
• Harkitse asiantuntija-avun hankkimista. Ilmoittautuminen a Hallittu havaitseminen ja reagointi (MDR) -palvelu ei ole epäonnistumisen myöntäminen tai merkki siitä, että et itse ymmärrä kyberturvallisuutta. MDR ei ole vastuusi kumoaminen – se on yksinkertaisesti tapa saada omistautuneita asiantuntijoita käytettävissäsi, kun todella tarvitset heitä. MDR tarkoittaa myös sitä, että hyökkäyksen sattuessa oman henkilöstösi ei tarvitse luopua kaikesta, mitä he parhaillaan tekevät (mukaan lukien säännölliset tehtävät, jotka ovat elintärkeitä yrityksesi jatkuvuuden kannalta), ja siten mahdollisesti jättää muita tietoturva-aukkoja auki.
• Ota käyttöön nolla luottamus. Nollaluottamus ei kirjaimellisesti tarkoita, että et koskaan luota keneenkään tekevän mitään. Se on metafora sanoille "älä tee olettamuksia" ja "älä koskaan valtuuta ketään tekemään enemmän kuin hän ehdottomasti tarvitsee". Luotettava verkkoyhteys (ZTNA) -tuotteet eivät toimi kuten perinteiset verkon suojaustyökalut, kuten VPN:t. VPN tarjoaa yleensä ulkopuoliselle turvallisen tavan päästä verkkoon, minkä jälkeen he nauttivat usein paljon enemmän vapautta kuin he todellisuudessa tarvitsevat, jolloin he voivat vaeltaa, snoppia ja tuijottaa etsiessään avaimia muuhun linnaan. Nollaluottamuksellinen käyttöoikeus on paljon yksityiskohtaisempi, joten jos sinun tarvitsee vain selata uusinta sisäistä hinnastoa, saat sen käyttöoikeuden. Et myöskään saa oikeutta vaeltaa tukifoorumeille, selata myyntitietoja tai työntää nenääsi lähdekooditietokantaan.
• Perusta kyberturvallisuuspalvelu henkilöstölle, jos sinulla ei vielä ole sellaista. Tee kyberturvallisuusongelmista ilmoittaminen kaikille helpoksi. Olipa kyseessä epäilyttävä puhelu, epätodennäköinen sähköpostin liite tai jopa vain tiedosto, jonka ei luultavasti pitäisi olla verkossa, sinulla on yksi yhteyspiste (esim. securityreport@yourbiz.example), jonka avulla kollegoidesi on nopea ja helppo soittaa siihen.
• Älä koskaan anna periksi ihmisistä. Tekniikka ei yksin pysty ratkaisemaan kaikkia kyberturvallisuusongelmiasi. Jos kohtelet henkilökuntaasi kunnioittavasti ja jos omaksut kyberturvallisuusasenteen "Ei ole olemassa typerää kysymystä, on vain tyhmä vastaus", voit muuttaa kaikki organisaatiossasi turvallisuustiimillesi silmät ja korvat.

---

Mikset liittyisi joukkoomme tämän vuoden 26.-29 Sophos Security SOS Week:

Neljä lyhyttä mutta kiehtovaa keskustelua maailman asiantuntijoiden kanssa.

Opi suojaamisesta, havaitsemisesta ja reagoinnista,
ja kuinka perustaa oma menestyvä SecOps-tiimi:

---