Agente Okta envolvido na violação do MGM Resorts, afirmam invasores

Observação: esta história foi atualizada para incluir comentários do diretor de segurança da Okta, David Bradbury.

Os agentes de ameaças que se acredita estarem por trás dos ataques cibernéticos da semana passada ao MGM Resorts e ao Caesars Entertainment agora dizem que conseguiram violar os sistemas da MGM ao invadir de alguma forma a plataforma Okta da empresa, especificamente o Okta Agent, que é o cliente leve que se conecta ao Active Directory de uma organização.

Okta é um provedor popular de gerenciamento de identidade e acesso (IAM) para a nuvem.

“A MGM tomou a decisão precipitada de desligar todos e cada um de seus servidores Okta Sync depois de saber que estávamos escondidos em seus servidores Okta Agent, farejando senhas de pessoas cujas senhas não podiam ser quebradas a partir de despejos de hash de seus controladores de domínio”, ALPHV escreveu em seu site de vazamento, em uma declaração que o pesquisador da Emsisoft Brett Callow twittou. “Isso resultou na eliminação completa do Okta.”

A declaração da ALPHV acrescentou que depois de espreitar Okta por um dia e coletar senhas, o grupo de ameaças lançou ataques cibernéticos de ransomware contra mais de 1,000 hipervisores ESXi em 11 de setembro, “… depois de tentar entrar em contato [com a MGM], mas sem sucesso, ”, dizia o comunicado.

O grupo de ransomware deixou claro que a MGM Resorts não está negociando com eles e está ameaçando novas ações se um acordo financeiro não for feito.

“Ainda continuamos a ter acesso a algumas infra-estruturas da MGM”, afirmou o comunicado da ALPHV. “Se não for alcançado um acordo, realizaremos ataques adicionais.” O grupo também disse que divulgaria os dados que exfiltrou para Troy Hunt, do Have I Been Pwned, para divulgar de forma responsável, caso ele decidisse fazê-lo.

ALPHV (também conhecido como BlackCat) é o nome do operador de ransomware como serviço (RaaS) que forneceu o grupo de ameaça Scattered Spider com o malware e os serviços de suporte para realizar o ataques cibernéticos em cassinos.

Alerta de agosto da Okta sobre ataques de engenharia social

O diretor de segurança da Okta, David Bradbury, confirma que o ataque cibernético à MGM teve um componente de engenharia social, mas acrescenta que foi bem-sucedido porque os atores da ameaça eram sofisticados o suficiente para implantar seu próprio provedor de identidade (IDP) e banco de dados de usuários no sistema Okta.

“A parte humana foi simples, mas a parte subsequente do ataque foi complexa”, diz ele.

A capacidade de criar vários subgrupos de identidade é uma característica do sistema Okta, não uma falha, acrescenta Bradbury. Ele sugere que adicionar uma etapa de verificação visual no suporte técnico apenas para os usuários com os privilégios de acesso mais altos impediria esses ataques cibernéticos.

Okta avisou do potencial para ataques de engenharia social deste tipo com um alerta em 31 de agosto detalhando tentativas em sistemas Okta para obter acesso altamente privilegiado através de engenharia social.

“Nas últimas semanas, vários clientes da Okta baseados nos EUA relataram um padrão consistente de ataques de engenharia social contra o pessoal da central de serviços de TI, em que a estratégia do chamador era convencer o pessoal da central de atendimento a redefinir todos os fatores de autenticação multifator (MFA) registrados por usuários altamente privilegiados”, alertou Okta. “Os invasores então aproveitaram o comprometimento de contas de superadministrador Okta altamente privilegiadas para abusar de recursos legítimos de federação de identidade que lhes permitiram se passar por usuários dentro da organização comprometida.”

A Okta também tornou pública sua relacionamento com MGM, trabalhando com a empresa de hospitalidade para fornecer os “alicerces para a melhor experiência do hóspede”, de acordo com seu site.

Bradbury diz que a Okta continuará a trabalhar com o Caesars e a MGM na resposta e recuperação, confirmando também o papel da Okta na violação do Caesars.

Provável nova onda de abuso de MFA

É preocupante que este possa ser o primeiro de uma nova onda de ataques cibernéticos contra utilizadores de alto privilégio, de acordo com Callie Guenther, gestora sénior de investigação de ameaças da Critical Start. Afinal, Okta já é um alvo popular entre os atores do crime cibernético.

“A Okta, dada a sua centralidade nas estratégias de IAM de muitas organizações, é naturalmente um alvo atraente”, diz Guenther. “A chave não é ver estes sistemas como inerentemente falhos, mas reconhecer a importância de uma higiene de segurança robusta, monitorização contínua e partilha rápida de informações sobre ameaças.”

O verdadeiro problema não é o Okta em si, de acordo com Aaron Painter, CEO da Nametag, fornecedora de ferramentas de segurança cibernética de helpdesk. Pelo contrário, trata-se simplesmente do facto de o MFA ter sido concebido para identificar dispositivos e não pessoas.

“Esta vulnerabilidade não é exclusiva da MGM nem da Okta; é um problema sistêmico com autenticação multifator”, diz Painter. “A MFA verifica dispositivos, não pessoas. Falta inscrição e recuperação seguras – dois momentos em que você precisa saber qual pessoa está sendo autenticada. Este é um problema conhecido, para o qual o MFA não foi criado para resolver.”

Esta é uma história em desenvolvimento.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Automotivo / EVs, Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• ChartPrime. Eleve seu jogo de negociação com ChartPrime. Acesse aqui.
• BlockOffsets. Modernizando a Propriedade de Compensação Ambiental. Acesse aqui.
• Fonte: https://www.darkreading.com/application-security/okta-flaw-involved-mgm-resorts-breach-attackers-claim