UBER A ÉTÉ PIRATÉ, se vante le pirate informatique – comment empêcher que cela ne vous arrive PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

UBER A ÉTÉ HACKÉ, se vante d'être un pirate informatique - comment empêcher que cela ne vous arrive

Horodatage: 16 septembre 2022 11:43 AM

by
Paul Canard

De toute évidence, et malheureusement ils sont nombreux, un hacker – dans le pénétrer par effraction dans votre réseau illégalement sens, pas dans un résoudre-des-problèmes-de-codage-super-dur-d-une-manière-funky sens – a pénétré par effraction dans la société de covoiturage Uber.

D’après une rapport Selon la BBC, le hacker n'aurait que 18 ans et semble avoir réussi l'attaque pour le même genre de raison qui a motivé l'alpiniste britannique. George Mallory continuer à essayer (et finalement mourir en tentant) de gravir le sommet du mont Everest dans les années 1920…

..."parce que c'est là."

Uber, bien entendu, n’a pas dit grand-chose jusqu’à présent [2022-09-16T15:45Z] que de annoncer sur Twitter:

Que savons-nous jusqu’à présent ?

Si l'ampleur de l'intrusion est aussi large que le suggère le pirate informatique présumé, sur la base des captures d'écran que nous avons vues affichées sur Twitter, nous ne sommes pas surpris qu'Uber n'ait pas encore fourni d'informations spécifiques, d'autant plus que les forces de l'ordre sont impliqué dans l’enquête.

Lorsqu’il s’agit d’investigation de cyberincidents, le diable c'est vraiment dans les détails.

Néanmoins, des données accessibles au public, prétendument publiées par le pirate informatique lui-même et largement diffusées, semblent suggérer que ce piratage avait deux causes sous-jacentes, que nous décrirons avec une analogie médiévale.

L'intrus:

  • Vous avez trompé un initié pour qu'il le laisse entrer dans la cour, ou Bailey. Il s'agit de la zone située à l'intérieur du mur le plus extérieur du château, mais séparée de la partie la mieux défendue.
  • Trouvé des détails sans surveillance expliquant comment accéder au donjon, ou papillon de nuit. Comme son nom l'indique, le garder est le bastion défensif central d'un château médiéval européen traditionnel.

Le cambriolage initial

Le terme de jargon pour se frayer un chemin vers l'équivalent du 21e siècle de la cour du château est ingénierie sociale.

Comme nous le savons tous, il existe plusieurs façons que les attaquants, avec du temps, de la patience et du talent, peuvent persuader même un utilisateur bien informé et bien intentionné de les aider à contourner les processus de sécurité censés les empêcher d'entrer.

Les astuces d'ingénierie sociale automatisées ou semi-automatisées incluent les escroqueries par hameçonnage par courrier électronique et par messagerie instantanée.

Ces escroqueries incitent les utilisateurs à saisir leurs informations de connexion, y compris souvent leurs codes 2FA, sur des sites Web contrefaits qui ressemblent à de vrais mais fournissent en réalité les codes d'accès nécessaires aux attaquants.

Pour un utilisateur déjà connecté et donc temporairement authentifié pour sa session en cours, les attaquants peuvent tenter d'accéder à ce que l'on appelle cookies ou jetons d'accès sur l'ordinateur de l'utilisateur.

En implantant un logiciel malveillant qui détourne les sessions existantes, par exemple, les attaquants peuvent se faire passer pour un utilisateur légitime pendant suffisamment longtemps pour prendre complètement le contrôle, sans avoir besoin des informations d'identification habituelles dont l'utilisateur lui-même a besoin pour se connecter à partir de zéro :

Et si tout le reste échoue – ou peut-être même au lieu d’essayer les méthodes mécaniques décrites ci-dessus – les attaquants peuvent simplement appeler un utilisateur et le charmer, ou le cajoler, ou le mendier, ou le soudoyer, ou le cajoler, ou le menacer, selon la manière dont il l’utilise. la conversation se déroule.

Des ingénieurs sociaux compétents sont souvent capables de convaincre des utilisateurs bien intentionnés non seulement d'ouvrir la porte en premier lieu, mais aussi de la maintenir ouverte pour permettre aux attaquants d'entrer encore plus facilement, et peut-être même de porter les sacs et les bagages de l'attaquant. montrez-leur où aller ensuite.

C’est ainsi qu’a été réalisé le tristement célèbre piratage de Twitter de 2020, où 45 comptes Twitter drapeau bleu, dont ceux de Bill Gates, Elon Musk et Apple, ont été piratés et utilisés pour promouvoir une arnaque aux cryptomonnaies.

Ce piratage n'était pas tant technique que culturel, effectué par le personnel d'assistance qui s'est tellement efforcé de faire le bon choix qu'il a fini par faire exactement le contraire :

Un compromis total

Le terme de jargon désignant l'équivalent d'entrer dans le donjon du château depuis la cour est élévation de privilège.

En règle générale, les attaquants recherchent et utilisent délibérément les vulnérabilités de sécurité connues en interne, même s'ils n'ont pas trouvé de moyen de les exploiter de l'extérieur parce que les défenseurs ont pris la peine de s'en protéger au niveau du périmètre du réseau.

Par exemple, dans une enquête que nous avons publiée récemment sur les intrusions que le Réponse rapide de Sophos Notre équipe a enquêté en 2021, nous avons constaté que dans seulement 15 % des intrusions initiales – où les attaquants franchissent le mur extérieur et pénètrent dans la cour – les criminels ont pu s'introduire par effraction à l'aide de RDP.

(RDP est l'abréviation de protocole de bureau à distance, et il s'agit d'un composant Windows largement utilisé, conçu pour permettre à l'utilisateur X de travailler à distance sur l'ordinateur Y, où Y est souvent un serveur qui n'a pas d'écran ni de clavier propre, et qui peut en effet se trouver à trois étages sous terre dans une salle de serveurs. , ou à travers le monde dans un centre de données cloud.)

Mais dans 80 % des attaques, les criminels ont utilisé RDP une fois à l’intérieur pour se promener presque à volonté sur le réseau :

Tout aussi inquiétant, lorsque les ransomwares n'étaient pas impliqués (car une attaque de ransomware rend immédiatement évident que vous avez été piraté !), le temps moyen moyen pendant lequel les criminels ont été parcourir le réseau inaperçu était de 34 jours – plus d’un mois civil :

L'incident d'Uber

Nous ne savons pas encore exactement comment l'ingénierie sociale initiale (abrégée en SE dans le jargon du hacking) a été réalisée, mais le chercheur en menaces Bill Demirkapi a tweeté une capture d'écran cela semble révéler (avec des détails précis expurgés) comment l’élévation des privilèges a été réalisée.

Apparemment, même si le hacker a commencé comme un utilisateur régulier, et n’avait donc accès qu’à certaines parties du réseau…

… Un peu d'errance et d'espionnage sur les partages non protégés sur le réseau a révélé un répertoire réseau ouvert qui comprenait un tas de scripts PowerShell…

… qui comprenait des informations d'identification de sécurité codées en dur pour l'accès administrateur à un produit connu dans le jargon sous le nom de PAM, abréviation de Gestionnaire d'accès privilégié.

Comme son nom l'indique, un PAM est un système utilisé pour gérer les informations d'identification et contrôler l'accès à tous (ou au moins à une grande partie) des autres produits et services utilisés par une organisation.

En termes ironiques, l'attaquant, qui a probablement commencé avec un compte utilisateur modeste et peut-être très limité, est tombé sur un mot de passe ueber-ueber qui a déverrouillé de nombreux mots de passe ueber des opérations informatiques mondiales d'Uber.

Nous ne savons pas exactement dans quelle mesure le pirate informatique a pu se déplacer une fois qu'il a ouvert la base de données PAM, mais les publications sur Twitter provenant de nombreuses sources suggèrent que l'attaquant a pu pénétrer une grande partie de l'infrastructure informatique d'Uber.

Le pirate informatique aurait divulgué des données pour montrer qu'il avait accédé au moins aux systèmes d'entreprise suivants : les espaces de travail Slack ; Le logiciel de protection contre les menaces d'Uber (ce que l'on appelle encore souvent avec désinvolture un anti-virus); une console AWS ; informations sur les déplacements et les dépenses de l'entreprise (y compris les noms des employés) ; une console de serveur virtuel vSphere ; une liste de Google Workspaces ; et même le propre service de bug bounty d'Uber.

(Apparemment, et ironiquement, le service de bug bounty était le lieu où le pirate informatique se vantait bruyamment en majuscules, comme le montre le titre, que UBER A ÉTÉ PIRATÉ.)

Que faire?

Il est facile de pointer du doigt Uber dans cette affaire et de laisser entendre que cette violation devrait être considérée comme bien pire que la plupart, simplement en raison du caractère bruyant et très public de tout cela.

Mais la triste vérité est que de nombreuses cyberattaques contemporaines, sinon la plupart, s’avèrent avoir impliqué les attaquants obtenant exactement ce degré d’accès…

…ou du moins potentiellement avoir ce niveau d'accès, même s'ils n'ont finalement pas fouillé partout où ils pouvaient.

Après tout, de nos jours, de nombreuses attaques de ransomware ne représentent pas le début mais la fin d'une intrusion qui a probablement duré des jours ou des semaines, et peut-être même des mois, période pendant laquelle les attaquants ont probablement réussi à se promouvoir pour avoir statut égal à celui de l'administrateur système le plus ancien dans l'entreprise qu'ils avaient violée.

C'est pourquoi les attaques de ransomware sont souvent si dévastatrices : au moment où l'attaque survient, il reste peu d'ordinateurs portables, de serveurs ou de services auxquels les criminels n'ont pas réussi à accéder, ils sont donc presque littéralement capables de tout brouiller.

En d’autres termes, ce qui semble être arrivé à Uber dans cette affaire n’est pas une histoire nouvelle ou unique de violation de données.

Voici donc quelques conseils qui donnent à réfléchir que vous pouvez utiliser comme point de départ pour améliorer la sécurité globale de votre propre réseau :

  • Les gestionnaires de mots de passe et 2FA ne sont pas une panacée. L'utilisation de mots de passe bien choisis empêche les escrocs de deviner leur chemin, et la sécurité 2FA basée sur des codes à usage unique ou des jetons d'accès matériels (généralement de petits dongles USB ou NFC qu'un utilisateur doit emporter avec lui) rend les choses plus difficiles, souvent beaucoup plus difficiles, pour attaquants. Mais contre ce qu'on appelle aujourd'hui attaques menées par l'homme, lorsque des « adversaires actifs » s’impliquent personnellement et directement dans l’intrusion, vous devez aider vos utilisateurs à modifier leur comportement général en ligne, afin qu’ils soient moins susceptibles d’être incités à contourner les procédures, quelle que soit l’étendue et la complexité de ces procédures.
  • La sécurité a sa place partout dans le réseau, pas seulement à la périphérie. De nos jours, de très nombreux utilisateurs ont besoin d’accéder à au moins une partie de votre réseau : employés, sous-traitants, intérimaires, agents de sécurité, fournisseurs, partenaires, nettoyeurs, clients et bien plus encore. Si un paramètre de sécurité mérite d’être renforcé au niveau de ce qui semble être le périmètre de votre réseau, il est presque certain qu’il doit également être renforcé « à l’intérieur ». Cela s’applique particulièrement aux correctifs. Comme nous aimons le dire sur Naked Security, « Corrigez tôt, corrigez souvent, corrigez partout. »
  • Mesurez et testez régulièrement votre cybersécurité. Ne présumez jamais que les précautions que vous pensiez mettre en place fonctionnent réellement. Ne présumez pas ; vérifie toujours. N’oubliez pas non plus que, comme de nouveaux outils, techniques et procédures de cyberattaque apparaissent constamment, vos précautions doivent être revues régulièrement. En mots simples, « La cybersécurité est un voyage, pas une destination. »
  • Pensez à demander l’aide d’un expert. S'inscrire à un Détection et réponse gérées (MDR) n’est pas un aveu d’échec, ni le signe que vous ne comprenez pas vous-même la cybersécurité. Le MDR n'est pas une abrogation de votre responsabilité – c'est simplement un moyen de disposer d'experts dédiés lorsque vous en avez vraiment besoin. MDR signifie également qu'en cas d'attaque, votre propre personnel n'est pas obligé d'abandonner tout ce qu'il fait actuellement (y compris les tâches régulières qui sont vitales pour la continuité de votre entreprise), et ainsi de laisser potentiellement ouvertes d'autres failles de sécurité.
  • Adoptez une approche zéro confiance. La confiance zéro ne signifie pas littéralement que vous ne faites jamais confiance à personne pour faire quoi que ce soit. C'est une métaphore pour « ne faire aucune hypothèse » et « ne jamais autoriser quiconque à faire plus que ce dont il a strictement besoin ». Accès réseau zéro confiance (ZTNA) ne fonctionnent pas comme les outils de sécurité réseau traditionnels tels que les VPN. Un VPN fournit généralement un moyen sécurisé à une personne extérieure d'obtenir une admission générale au réseau, après quoi elle bénéficie souvent de beaucoup plus de liberté que ce dont elle a réellement besoin, lui permettant de se déplacer, de fouiner et de fouiller à la recherche des clés du reste du château. L'accès Zero Trust adopte une approche beaucoup plus granulaire, de sorte que si tout ce que vous avez réellement besoin de faire est de parcourir la dernière liste de prix interne, c'est l'accès que vous obtiendrez. Vous n’aurez pas non plus le droit de vous promener dans les forums d’assistance, de parcourir les enregistrements de ventes ou de mettre le nez dans la base de données du code source.
  • Mettez en place une hotline de cybersécurité pour le personnel si vous n’en avez pas déjà une. Facilitez le signalement des problèmes de cybersécurité par quiconque. Qu'il s'agisse d'un appel téléphonique suspect, d'une pièce jointe improbable à un e-mail ou même simplement d'un fichier qui ne devrait probablement pas être disponible sur le réseau, ayez un point de contact unique (par exemple securityreport@yourbiz.example), ce qui permet à vos collègues de l'appeler rapidement et facilement.
  • N'abandonnez jamais les gens. La technologie ne peut à elle seule résoudre tous vos problèmes de cybersécurité. Si vous traitez votre personnel avec respect et si vous adoptez l'attitude de cybersécurité qui "Il n'y a pas de question idiote, seulement une réponse idiote", vous pourrez alors transformer tous les membres de l'organisation en yeux et en oreilles pour votre équipe de sécurité.

Pourquoi ne pas nous rejoindre du 26 au 29 septembre 2022 pour le Semaine Sophos Sécurité SOS:

Quatre entretiens courts mais fascinants avec des experts mondiaux.

En savoir plus sur la protection, la détection et la réponse,
et comment mettre en place votre propre équipe SecOps performante :

UBER A ÉTÉ PIRATÉ, se vante le pirate informatique – comment empêcher que cela ne vous arrive PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

Horodatage:

Plus de Sécurité nue