UBER HAS BEEN HACKED, 自慢のハッカー – それを阻止する方法

すべてのアカウントで、悲しいことに、彼らの多くはハッカーです。 ネットワークを破って侵入する - 違法 ある意味ではなく ファンキーな方法でスーパーハードコーディングの問題を解決する sense – はライドシェア会社の Uber に侵入した。

によると、 レポート BBC によると、ハッカーはわずか 18 歳であると言われ、有名な英国の登山家を運転したのと同じ理由で攻撃をやめたようです。 ジョージ・マロリー 1920 年代にエベレスト登頂を試み続けた (そして最終的にはその試みの中で命を落とした) …

...「そこにあるから」

当然のことながら、これまでのところ [2022-09-16T15:45Z] Uber は、 発表する Twitterで：

現在、サイバーセキュリティインシデントに対応しています。 私たちは法執行機関と連絡を取り合っており、追加の更新が利用可能になり次第、ここに投稿します.

- Uber Comms（@Uber_Comms） 2022 年 9 月 16 日

これまでにどれだけ知っていますか？

侵入の規模が、ハッカー容疑者が示唆するほど広範である場合、Twitter に貼り付けられたスクリーンショットに基づいて、Uber がまだ具体的な情報を提供していないことは驚くに値しません。捜査に関与。

サイバーインシデントのフォレンジックに関しては、 悪魔 本当に詳細です。

それにもかかわらず、ハッカー自身によって公開され、広く配布されたとされる公に入手可能なデータは、このハッキングには XNUMX つの根本的な原因があったことを示唆しているようです。

侵入者:

• インサイダーをだまして中庭に入れさせた、または ベイリー. 一番外側の城壁の内側のエリアですが、最も防御された部分とは別です。
• 砦へのアクセス方法を説明する無人の詳細を発見した、または モットー. 名前が示すように、 続ける 伝統的な中世ヨーロッパの城の中心的な防御拠点です。

最初のブレイク

城の中庭に相当する 21 世紀への道を自慢するための専門用語は、 社会工学.

私たち全員が知っているように、 たくさんの方法 攻撃者は、時間と忍耐とギャブの賜物を持っているため、十分な情報と善意のあるユーザーでさえも、攻撃者を締め出すはずのセキュリティ プロセスを回避するように説得することができます。

自動化または半自動化されたソーシャル エンジニアリングの手口には、電子メールや IM ベースのフィッシング詐欺が含まれます。

これらの詐欺は、本物のように見えながら実際には攻撃者に必要なアクセス コードを提供する偽の Web サイトで、2FA コードを含むログインの詳細を入力するようにユーザーを誘導します。

すでにログインしているため、現在のセッションで一時的に認証されているユーザーの場合、攻撃者はいわゆる クッキーまたはアクセストークン ユーザーのコンピューター上。

たとえば、既存のセッションをハイジャックするマルウェアを埋め込むことで、攻撃者は、ユーザー自身が最初からログインするために必要な通常の資格情報を必要とせずに、正当なユーザーになりすまして完全に乗っ取ることができる可能性があります。

そして、他のすべてが失敗した場合、またはおそらく上記の機械的な方法を試す代わりに、攻撃者は単純にユーザーを呼び出して、ユーザーを魅了したり、売ったり、物乞いしたり、賄賂を受け取ったり、甘やかしたり、脅したりすることができます。会話が展開します。

熟練したソーシャル エンジニアは、多くの場合、善意のユーザーに最初からドアを開けるよう説得するだけでなく、ドアを開けたままにしておくことで、攻撃者がさらに簡単に侵入できるようにします。次に行く場所を示します。

これが、2020 年の悪名高い Twitter ハッキングが実行された方法であり、ビル ゲイツ、イーロン マスク、Apple のアカウントを含む 45 のブルー フラグ Twitter アカウントが乗っ取られ、暗号通貨詐欺を促進するために使用されました。

そのハッキングは技術的なものではなく文化的なものであり、サポート スタッフが正しいことをしようと懸命に努力した結果、まったく逆のことをすることになりました。

完全な妥協

中庭から天守閣に入るのに相当する専門用語は 特権の昇格.

通常、攻撃者は既知のセキュリティ脆弱性を内部で意図的に探して使用しますが、防御側がネットワーク境界でそれらを保護するために苦労したため、外部からそれらを悪用する方法を見つけることができませんでした.

たとえば、最近公開した侵入に関する調査では、 ソフォソラピッドレスポンス チームが 2021 年に調査したところ、最初の侵入 (攻撃者が外壁を越えてベイリーに侵入した場合) で、犯罪者が RDP を使用して侵入できたのはわずか 15% であることがわかりました。

（RDPはの略です リモートデスクトッププロトコルであり、ユーザー X がコンピューター Y でリモート作業できるように設計された、広く使用されている Windows コンポーネントです。Y は多くの場合、独自の画面とキーボードを持たないサーバーであり、実際にはサーバー ルームの地下 XNUMX 階にある場合があります。 、または世界中のクラウド データ センターで。)

しかし、攻撃の 80% では、犯罪者は内部に入ると RDP を使用して、ネットワーク全体をほぼ自由にさまよっています。

同様に心配なことに、ランサムウェアが関与していない場合 (ランサムウェア攻撃により、侵害されたことが即座に明らかになるためです!)、犯罪者が侵入した平均時間の中央値は 気づかれずにネットワークをローミング 34 日でした – XNUMX か月以上:

ウーバー事件

最初のソーシャル エンジニアリング (ハッキングの専門用語で SE と略される) がどのように実行されたかはまだわかりませんが、脅威研究者の Bill Demirkapi は次のように述べています。 スクリーンショットをツイートしました それは、特権の昇格がどのように達成されたかを明らかにするようです (正確な詳細は編集されています)。

どうやら、ハッカーは通常のユーザーとして開始したため、ネットワークの一部にしかアクセスできませんでしたが…

…ネットワーク上の保護されていない共有を少しうろついてスヌーピングしたところ、多数の PowerShell スクリプトを含むオープン ネットワーク ディレクトリが明らかになりました…

…専門用語で PAM (略して 特権アクセス マネージャー.

名前が示すように、PAM は、組織が使用する他のすべての (または少なくとも多くの) 製品やサービスの資格情報を管理し、それらへのアクセスを制御するために使用されるシステムです。

皮肉なことに、おそらく謙虚でおそらく非常に限られたユーザー アカウントで始めた攻撃者は、Uber のグローバル IT オペレーションの多くの ueber-passwords のロックを解除する ueber-ueber-password に出くわしました。

ハッカーが PAM データベースを開いた後、どれほど広範囲にローミングできたかはわかりませんが、多数の情報源からの Twitter への投稿は、攻撃者が Uber の IT インフラストラクチャの多くに侵入できたことを示唆しています。

ハッカーは、少なくとも次のビジネス システムにアクセスしたことを示すデータをダンプしたとされています。 Uber の脅威保護ソフトウェア (今でもカジュアルに アンチウイルス); AWS コンソール; 会社の旅費および経費に関する情報 (従業員名を含む); vSphere 仮想サーバー コンソール。 Google Workspace のリスト。 さらには Uber 独自のバグ報奨金サービスまで。

(明らかに、そして皮肉なことに、バグ報奨金サービスは、ハッカーが見出しに示されているように、大文字で大声で自慢していた場所でした。 UBER がハッキングされた.)

何をするか？

この場合、Uber を非難するのは簡単です。この違反は、大声で非常に公的な性質を持っているという理由だけで、他の違反よりもはるかに悪いと見なされるべきであるとほのめかします。

しかし、残念なことに、現代のサイバー攻撃のほとんどではないにしても、多くの場合、攻撃者がまさにこの程度のアクセスを取得していたことが判明しています…

…または、少なくともこのレベルのアクセス権を持っている可能性があります。

結局のところ、最近の多くのランサムウェア攻撃は侵入の始まりではなく、おそらく数日または数週間続き、数か月続いた可能性がある侵入の終焉を表しています。 最上級のシステム管理者と同等の地位 彼らが違反した会社で。

これが、ランサムウェア攻撃がしばしば非常に壊滅的なものになる理由です。なぜなら、攻撃が来る頃には、犯罪者がアクセスを争っていないラップトップ、サーバー、またはサービスはほとんどないため、文字通りすべてをスクランブルできるからです。

言い換えれば、今回のケースで Uber に起こったと思われることは、新しいデータ侵害の話でもユニークなデータ侵害の話でもありません。

そこで、ネットワーク全体のセキュリティを向上させるための出発点として使用できる、考えさせられるヒントをいくつか紹介します。

• パスワード マネージャーと 2FA は万能薬ではありません。 適切に選択されたパスワードを使用することで、詐欺師による侵入を阻止できます。また、ワンタイム コードまたはハードウェア アクセス トークン (通常は、ユーザーが携帯する必要のある小さな USB または NFC ドングル) に基づく 2FA セキュリティにより、状況がさらに困難になります。攻撃者。 しかし、今日のいわゆる 人間主導の攻撃、「アクティブな攻撃者」が侵入に個人的かつ直接的に関与している場合、ユーザーが一般的なオンライン行動を変えるのを支援する必要があるため、それらの手順がどれほど包括的で複雑であるかに関係なく、手順を回避するように話しかけられる可能性が低くなります.
• セキュリティは、エッジだけでなく、ネットワークのあらゆる場所に存在します。 最近では、従業員、請負業者、派遣スタッフ、警備員、サプライヤー、パートナー、清掃員、顧客など、非常に多くのユーザーがネットワークの少なくとも一部にアクセスする必要があります。 ネットワーク境界のように感じられるセキュリティ設定を強化する価値がある場合は、ほぼ確実に「内部」も強化する必要があります。 これは特にパッチ適用に当てはまります。 Naked Security では、 「早期にパッチを適用し、頻繁にパッチを適用し、あらゆる場所にパッチを適用します。」
• サイバーセキュリティを定期的に測定およびテストします。 自分が実施したと思った予防策が実際に機能していると思い込まないでください。 仮定しないでください。 常に確認します。 また、新しいサイバー攻撃のツール、手法、および手順が常に出現しているため、予防策を定期的に見直す必要があることを忘れないでください。 簡単に言えば、 「サイバーセキュリティは旅であり、目的地ではありません。」
• 専門家の助けを借りることを検討してください。 サインアップ 管理された検出と応答 (MDR) サービスは、失敗を認めたり、サイバーセキュリティを理解していないことを示すものではありません。 MDR は、あなたの責任を放棄するものではありません。それは、本当に必要なときに専任の専門家を手元に置いておく方法にすぎません。 また、MDR は、攻撃が発生した場合に、スタッフが現在行っているすべての作業 (ビジネスの継続に不可欠な通常のタスクを含む) を停止する必要がないことを意味し、他のセキュリティ ホールが開いたままになる可能性があります。
• ゼロトラスト アプローチを採用します。 ゼロトラストとは文字通り、誰かが何かをすることを決して信用しないという意味ではありません。 これは、「仮定をしない」と「絶対に必要以上のことを誰にも許可しない」の比喩です。 ゼロトラスト ネットワーク アクセス (ZTNA) 製品は、VPN などの従来のネットワーク セキュリティ ツールのようには機能しません。 VPN は通常、外部の誰かがネットワークへの一般的なアクセス権を取得するための安全な方法を提供します。その後、彼らは実際に必要とするよりもはるかに多くの自由を享受し、城の残りの部分への鍵を探して歩き回ったり、詮索したり、うろついたりすることができます. ゼロトラスト アクセスでは、はるかにきめ細かいアプローチが採用されているため、本当に必要なことが最新の社内価格表を閲覧することだけである場合は、そのアクセス権が得られます。 また、サポート フォーラムに出入りしたり、販売記録を調べたり、ソース コード データベースを調べたりする権利もありません。
• まだ持っていない場合は、スタッフ向けのサイバーセキュリティ ホットラインを設定します。 誰でも簡単にサイバーセキュリティの問題を報告できるようにします。 不審な電話、ありそうもない電子メールの添付ファイル、またはネットワーク上にあるはずのない単なるファイルであっても、単一の連絡先 (たとえば、 securityreport@yourbiz.example) これにより、同僚がすばやく簡単に呼び出すことができます。
• 人を決してあきらめないでください。 テクノロジーだけでは、サイバーセキュリティの問題をすべて解決することはできません。 スタッフに敬意を持って接し、サイバーセキュリティに対する姿勢を採用すれば、 「ばかげた質問はない、ばかげた答えしかない」、組織内のすべての人をセキュリティ チームの目と耳にすることができます。

---

26 年 29 月 2022 ～ XNUMX 日に開催される今年の ソフォス セキュリティ SOS 週間:

世界の専門家との XNUMX つの短いが魅力的な講演。

保護、検出、対応について学び、
また、成功する独自の SecOps チームをセットアップする方法:

---