Door alle accounts, en helaas zijn er veel van hen, een hacker - in de breken-en-binnen-uw-netwerk-illegaal- zin, niet in a los-super-hard-codeerproblemen-op-een-funky-manier op sense – heeft ingebroken in het ritdeelbedrijf Uber.
Volgens een verslag van de BBC, de hacker zou slechts 18 jaar oud zijn en lijkt de aanval te hebben uitgevoerd om dezelfde soort reden die de beroemde Britse bergbeklimmer dreef George Mallory om te blijven proberen (en uiteindelijk sterven in de poging) om de Mount Everest in de jaren 1920 te beklimmen ...
..."omdat het er is."
Uber heeft begrijpelijkerwijs tot nu toe niet veel meer gezegd [2022-09-16T15:45Z] dan: aankondigen op Twitter:
We reageren momenteel op een cybersecurity-incident. We hebben contact met de politie en zullen hier aanvullende updates plaatsen zodra deze beschikbaar zijn.
- Uber Comms (@Uber_Comms) 16 september 2022
Hoeveel weten we tot nu toe?
Als de omvang van de inbraak zo breed is als de vermeende hacker heeft gesuggereerd, op basis van de screenshots die we op Twitter hebben gezien, zijn we niet verbaasd dat Uber nog geen specifieke informatie heeft verstrekt, vooral gezien het feit dat wetshandhaving is betrokken bij het onderzoek.
Als het gaat om forensisch onderzoek naar cyberincidenten, duivel zit echt in de details.
Desalniettemin lijken openbaar beschikbare gegevens, naar verluidt vrijgegeven door de hacker zelf en op grote schaal verspreid, te suggereren dat deze hack twee onderliggende oorzaken had, die we zullen beschrijven met een middeleeuwse analogie.
De indringer:
- Een insider misleid om ze de binnenplaats binnen te laten, of vestingmuur. Dat is het gebied binnen de buitenste kasteelmuur, maar gescheiden van het best verdedigde deel.
- Onbeheerde details gevonden die uitleggen hoe toegang te krijgen tot de donjon, of zode. Zoals de naam al doet vermoeden, de houden is het centrale verdedigingsbolwerk van een traditioneel middeleeuws Europees kasteel.
De eerste inbraak
De jargonterm om je een weg te banen naar het 21e-eeuwse equivalent van de binnenplaats van het kasteel is social engineering.
Zoals we allemaal weten, zijn er vele manieren dat aanvallers met tijd, geduld en de gave van het gebabbel zelfs een goed geïnformeerde en goedbedoelende gebruiker kunnen overtuigen om hen te helpen de beveiligingsprocessen te omzeilen die verondersteld worden hen buiten te houden.
Geautomatiseerde of semi-geautomatiseerde social engineering-trucs omvatten e-mail en IM-gebaseerde phishing-zwendel.
Deze oplichting verleidt gebruikers om hun inloggegevens, vaak inclusief hun 2FA-codes, in te voeren op vervalste websites die er echt uitzien, maar die de aanvallers daadwerkelijk de benodigde toegangscodes bezorgen.
Voor een gebruiker die al is ingelogd en dus tijdelijk is geverifieerd voor zijn huidige sessie, kunnen aanvallers proberen om bij zogenaamde cookies of toegangstokens op de computer van de gebruiker.
Door malware te implanteren die bestaande sessies kaapt, kunnen aanvallers zich bijvoorbeeld lang genoeg voordoen als een legitieme gebruiker om het volledig over te nemen, zonder dat ze de gebruikelijke inloggegevens nodig hebben die de gebruiker zelf nodig heeft om helemaal opnieuw in te loggen:
En als al het andere faalt – of misschien zelfs in plaats van de hierboven beschreven mechanische methoden uit te proberen – kunnen de aanvallers gewoon een gebruiker oproepen en hem charmeren, of smeken, of smeken, of omkopen, of overhalen, of in plaats daarvan dreigen, afhankelijk van hoe het gesprek ontvouwt zich.
Bekwame social engineers zijn vaak in staat goedbedoelende gebruikers te overtuigen om niet alleen de deur te openen, maar ook om deze open te houden om het de aanvallers nog gemakkelijker te maken om binnen te komen, en misschien zelfs om de tassen van de aanvaller te dragen en laat ze zien waar ze heen moeten.
Zo werd de beruchte Twitter-hack van 2020 uitgevoerd, waarbij 45 blauwe vlag Twitter-accounts, waaronder die van Bill Gates, Elon Musk en Apple, werden overgenomen en gebruikt om een cryptocurrency-zwendel te promoten.
Dat hacken was niet zozeer technisch als wel cultureel, uitgevoerd via ondersteunend personeel dat zo hard probeerde om het juiste te doen dat ze uiteindelijk precies het tegenovergestelde deden:
Volledig compromis
Het jargon voor het equivalent van binnenkomen in de donjon van het kasteel vanaf de binnenplaats is verhoging van het voorrecht.
Doorgaans zullen aanvallers opzettelijk interne beveiligingsproblemen zoeken en gebruiken, ook al konden ze geen manier vinden om deze van buitenaf te misbruiken omdat de verdedigers de moeite hadden genomen om zich tegen de netwerkperimeter te beschermen.
Zo hebben we onlangs in een onderzoek gepubliceerd over inbraken die de Sophos snelle reactie team onderzocht in 2021, ontdekten we dat bij slechts 15% van de eerste inbraken – waarbij de aanvallers over de buitenmuur en in de vestingmuur kwamen – de criminelen in staat waren om in te breken met behulp van RDP.
(RDP is een afkorting voor remote desktop protocol, en het is een veelgebruikte Windows-component die is ontworpen om gebruiker X op afstand te laten werken op computer Y, waar Y vaak een server is die geen eigen scherm en toetsenbord heeft, en zich inderdaad drie verdiepingen onder de grond kan bevinden in een serverruimte , of over de hele wereld in een clouddatacenter.)
Maar bij 80% van de aanvallen gebruikten de criminelen RDP zodra ze binnen waren om bijna naar believen door het netwerk te dwalen:
Net zo zorgwekkend, wanneer er geen ransomware bij betrokken was (omdat een ransomware-aanval het meteen duidelijk maakt dat je bent geschonden!), was de mediane gemiddelde tijd dat de criminelen ongemerkt over het netwerk zwerven was 34 dagen – meer dan een kalendermaand:
Het Uber-incident
We weten nog niet zeker hoe de initiële social engineering (in hackjargon afgekort tot SE) is uitgevoerd, maar bedreigingsonderzoeker Bill Demirkapi heeft tweette een screenshot dat lijkt te onthullen (met precieze details geredigeerd) hoe de verhoging van privileges werd bereikt.
Blijkbaar, hoewel de hacker begon als een gewone gebruiker en daarom slechts toegang had tot bepaalde delen van het netwerk...
... een beetje ronddwalen en rondsnuffelen op onbeschermde shares op het netwerk onthulde een open netwerkmap met een aantal PowerShell-scripts ...
…die hardgecodeerde beveiligingsreferenties bevatte voor beheerderstoegang tot een product dat in het jargon bekend staat als een PAM, een afkorting van Bevoorrechte toegangsbeheerder.
Zoals de naam al doet vermoeden, is een PAM een systeem dat wordt gebruikt voor het beheren van inloggegevens voor en het controleren van de toegang tot alle (of in ieder geval veel) andere producten en diensten die door een organisatie worden gebruikt.
Wrang gezegd, de aanvaller, die waarschijnlijk begon met een bescheiden en misschien zeer beperkt gebruikersaccount, stuitte op een ueber-ueber-wachtwoord waarmee veel van de ueber-wachtwoorden van de wereldwijde IT-activiteiten van Uber werden ontgrendeld.
We weten niet zeker hoe breed de hacker kon rondzwerven nadat ze de PAM-database hadden opengebroken, maar Twitter-berichten van verschillende bronnen suggereren dat de aanvaller een groot deel van de IT-infrastructuur van Uber kon binnendringen.
De hacker zou gegevens hebben gedumpt om aan te tonen dat hij toegang had tot ten minste de volgende bedrijfssystemen: Slack workspaces; De bedreigingsbeveiligingssoftware van Uber (wat vaak nog terloops wordt aangeduid als een anti-virus); een AWS-console; reis- en onkostengegevens van het bedrijf (inclusief namen van werknemers); een vSphere virtuele serverconsole; een vermelding van Google Workspaces; en zelfs Uber's eigen bug bounty-service.
(Blijkbaar, en ironisch genoeg, was de bug bounty-service waar de hacker luid opschepte in hoofdletters, zoals weergegeven in de kop, dat UBER IS GEHAKT.)
Wat te doen?
Het is gemakkelijk om in dit geval met de vinger naar Uber te wijzen en te impliceren dat deze inbreuk als veel erger moet worden beschouwd dan de meeste, simpelweg vanwege het luide en zeer openbare karakter van dit alles.
Maar de ongelukkige waarheid is dat bij veel, zo niet de meeste, hedendaagse cyberaanvallen de aanvallers precies deze mate van toegang hebben gekregen...
... of in ieder geval potentieel dit toegangsniveau hebben, zelfs als ze uiteindelijk niet overal rondsnuffelden waar ze maar konden.
Veel ransomware-aanvallen vertegenwoordigen tegenwoordig immers niet het begin maar het einde van een inbraak die waarschijnlijk dagen of weken heeft geduurd, en mogelijk zelfs maanden heeft geduurd, gedurende welke tijd de aanvallers er waarschijnlijk in slaagden zichzelf te promoten gelijke status met de hoogste systeembeheerder in het bedrijf dat ze hadden geschonden.
Dat is de reden waarom ransomware-aanvallen vaak zo verwoestend zijn - omdat tegen de tijd dat de aanval komt, er maar weinig laptops, servers of services zijn waartoe de criminelen geen toegang hebben gekregen, dus ze zijn bijna letterlijk in staat om alles door elkaar te gooien.
Met andere woorden, wat er in dit geval met Uber lijkt te zijn gebeurd, is geen nieuw of uniek verhaal over datalekken.
Daarom volgen hier enkele tot nadenken stemmende tips die u als uitgangspunt kunt gebruiken om de algehele beveiliging van uw eigen netwerk te verbeteren:
- Wachtwoordmanagers en 2FA zijn geen wondermiddel. Het gebruik van goedgekozen wachtwoorden voorkomt dat criminelen de weg naar binnen gissen, en 2FA-beveiliging op basis van eenmalige codes of hardwaretoegangstokens (meestal kleine USB- of NFC-dongles die een gebruiker bij zich moet hebben) maakt het moeilijker, vaak veel moeilijker, voor aanvallers. Maar tegen de zogenaamde door mensen geleide aanvallen, waar "actieve tegenstanders" zich persoonlijk en direct bij de inbraak betrekken, moet u uw gebruikers helpen hun algemene online gedrag te veranderen, zodat ze minder snel worden overgehaald om procedures te omzeilen, ongeacht hoe uitgebreid en complex die procedures ook zijn.
- Beveiliging hoort overal in het netwerk thuis, niet alleen aan de edge. Tegenwoordig hebben heel veel gebruikers toegang tot ten minste een deel van uw netwerk nodig: werknemers, aannemers, tijdelijk personeel, bewakers, leveranciers, partners, schoonmakers, klanten en meer. Als een beveiligingsinstelling de moeite waard is om aan te scherpen op wat aanvoelt als uw netwerkperimeter, dan moet het vrijwel zeker ook "binnen" worden aangescherpt. Dit geldt vooral voor patchen. Zoals we graag zeggen over Naked Security, "Patch vroeg, patch vaak, patch overal."
- Meet en test uw cyberbeveiliging regelmatig. Ga er nooit vanuit dat de voorzorgsmaatregelen die u dacht te hebben genomen, echt werken. Ga er niet vanuit; altijd verifiëren. Onthoud ook dat, omdat er steeds nieuwe tools, technieken en procedures voor cyberaanvallen opduiken, uw voorzorgsmaatregelen regelmatig moeten worden herzien. In eenvoudige woorden, "Cyberbeveiliging is een reis, geen bestemming."
- Overweeg om deskundige hulp in te schakelen. Aanmelden voor een Beheerde detectie en reactie (MDR)-service is geen bekentenis van mislukking, of een teken dat u zelf cyberbeveiliging niet begrijpt. MDR is geen afschaffing van uw verantwoordelijkheid - het is gewoon een manier om toegewijde experts bij de hand te hebben wanneer u ze echt nodig hebt. MDR betekent ook dat uw eigen personeel bij een aanval niet alles hoeft te laten vallen waar ze nu mee bezig zijn (inclusief reguliere taken die essentieel zijn voor de continuïteit van uw bedrijf), en zo mogelijk andere beveiligingslekken openlaat.
- Kies voor een zero-trust-aanpak. Zero-trust betekent niet letterlijk dat je nooit iemand vertrouwt om iets te doen. Het is een metafoor voor "maak geen aannames" en "machtig niemand om meer te doen dan strikt noodzakelijk is". Netwerktoegang zonder vertrouwen (ZTNA)-producten werken niet zoals traditionele netwerkbeveiligingstools zoals VPN's. Een VPN biedt over het algemeen een veilige manier voor iemand buiten om algemene toegang tot het netwerk te krijgen, waarna ze vaak veel meer vrijheid genieten dan ze echt nodig hebben, waardoor ze kunnen zwerven, snuffelen en rondneuzen op zoek naar de sleutels van de rest van het kasteel. Zero-trust-toegang heeft een veel gedetailleerdere benadering, zodat als u alleen maar door de nieuwste interne prijslijst hoeft te bladeren, dat de toegang is die u krijgt. Je krijgt ook niet het recht om in ondersteuningsforums rond te dwalen, door verkoopgegevens te bladeren of je neus in de broncodedatabase te steken.
- Stel een hotline voor cyberbeveiliging in voor personeel als u er nog geen heeft. Maak het iedereen gemakkelijk om cyberbeveiligingsproblemen te melden. Of het nu gaat om een verdacht telefoontje, een onwaarschijnlijke e-mailbijlage of zelfs maar een bestand dat waarschijnlijk niet op het netwerk zou moeten staan, u hebt één aanspreekpunt (bijv.
securityreport@yourbiz.example) waarmee je collega's snel en gemakkelijk kunnen bellen. - Geef mensen nooit op. Technologie alleen kan niet al uw cyberbeveiligingsproblemen oplossen. Als u uw personeel met respect behandelt en als u de cyberbeveiligingshouding aanneemt die: “domme vraag bestaat niet, alleen een dom antwoord”, dan kunt u van iedereen in de organisatie ogen en oren maken voor uw beveiligingsteam.
Kom dit jaar van 26-29 september 2022 met ons mee Sophos Security SOS-week:
Vier korte maar boeiende gesprekken met wereldexperts.
Meer informatie over bescherming, detectie en respons,
en hoe u zelf een succesvol SecOps-team opzet:
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- datalek
- Data Loss
- Department of Homeland Security
- digitale portefeuilles
- firewall
- hacking
- Kaspersky
- malware
- Mcafee
- Naakte beveiliging
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- privacy
- Uber
- VPN
- website veiligheid
- zephyrnet
