Агент Okta причастен к взлому MGM Resorts, утверждают злоумышленники

Примечание. Эта история была обновлена ​​и включает комментарии директора службы безопасности Okta Дэвида Брэдбери.

Злоумышленники, предположительно стоящие за кибератаками на MGM Resorts и Caesars Entertainment на прошлой неделе, теперь заявляют, что им удалось взломать системы MGM, каким-то образом взломав платформу Okta компании, в частности, Okta Agent, который представляет собой легкий клиент, который подключается к Active Directory организации.

Okta — популярный поставщик управления идентификацией и доступом (IAM). для облака.

«MGM приняла поспешное решение отключить все свои серверы Okta Sync после того, как узнала, что мы скрывались на их серверах Okta Agent и перехватывали пароли людей, чьи пароли невозможно взломать из хэш-дампов их контроллеров домена», — ALPHV написал на своем сайте утечки в заявлении исследователя Emsisoft Бретта Кэллоу. твист. «В результате их Окта полностью вышла из строя».

В заявлении ALPHV добавлено, что после того, как группа угроз в течение дня скрывалась вокруг Okta и подобрала пароли, затем 1,000 сентября она предприняла кибератаки с использованием программ-вымогателей против более чем 11 гипервизоров ESXi, «…после попытки связаться [с MGM], но безуспешно, - говорится в сообщении.

Группа, занимающаяся вымогательством, дала понять, что MGM Resorts не ведет с ними переговоров и угрожает дальнейшими действиями, если не будет достигнуто финансовое соглашение.

«Мы по-прежнему имеем доступ к некоторой части инфраструктуры MGM», — говорится в заявлении ALPHV. «Если сделка не будет достигнута, мы проведем дополнительные атаки». Группа также заявила, что передаст данные, которые она передала, Трою Ханту из Have I Been Pwned, чтобы тот ответственно раскрыл их, если он решит это сделать.

ALPHV (также известный как BlackCat) — это имя оператора программы-вымогателя как услуги (RaaS), который предоставил группа угрозы «Разбросанный паук» с вредоносным ПО и службами поддержки, чтобы осуществить кибератаки на казино.

Августовское предупреждение Okta об атаках с помощью социальной инженерии

Директор службы безопасности Okta Дэвид Брэдбери подтверждает, что кибератака на MGM имела компонент социальной инженерии, но добавляет, что она оказалась успешной, поскольку злоумышленники были достаточно искушены, чтобы развернуть в системе Okta своего собственного поставщика идентификационных данных (IDP) и базу данных пользователей.

«Человеческая часть была простой, но последующая часть атаки была сложной», — говорит он.

Возможность создания нескольких подгрупп идентификации является особенностью системы Okta, а не недостатком, добавляет Брэдбери. Он предлагает добавить в службу поддержки этап визуальной проверки, чтобы только пользователи с наивысшими правами доступа могли остановить эти кибератаки.

Окта предупредила о возможности атак с использованием социальной инженерии такого типа с предупреждением от 31 августа, в котором подробно описываются попытки систем Okta получить высокопривилегированный доступ с помощью социальной инженерии.

«В последние недели несколько клиентов Okta в США сообщили о постоянной тенденции атаки социальной инженерии на персонал службы ИТ-поддержки, в котором стратегия звонящего заключалась в том, чтобы убедить персонал службы поддержки сбросить все факторы многофакторной аутентификации (MFA), зарегистрированные пользователями с высоким уровнем привилегий», — предупредил Окта. «Затем злоумышленники воспользовались компрометацией учетных записей суперадминистратора Okta с высоким уровнем привилегий, чтобы злоупотребить законными функциями федерации удостоверений, которые позволили им выдавать себя за пользователей внутри скомпрометированной организации».

Okta также очень публично заявляла о своем отношения с MGM, работая с гостиничной компанией над созданием «строительных блоков для максимального качества обслуживания гостей», говорится на ее веб-сайте.

Брэдбери говорит, что Окта продолжит работать с Caesars и MGM над реагированием и восстановлением, подтверждая также роль Окты в взломе Caesars.

Возможна новая волна злоупотреблений МИД

Вызывает тревогу то, что это может быть первой в новой волне кибератак, нацеленных на пользователей с высоким уровнем привилегий, по мнению Кэлли Гюнтер, старшего менеджера по исследованию угроз в Critical Start. Окта ведь уже популярная мишень среди субъектов киберпреступности.

«Окта, учитывая ее центральное место в стратегиях IAM многих организаций, естественно, является привлекательной целью», — говорит Гюнтер. «Главное не в том, чтобы рассматривать эти системы как изначально ошибочные, а в том, чтобы признать важность надежной гигиены безопасности, постоянного мониторинга и быстрого обмена информацией об угрозах».

По словам Аарона Пейнтера, генерального директора Nametag, поставщика инструментов кибербезопасности для службы поддержки, настоящая проблема не в самой Okta. Скорее, дело просто в том, что MFA предназначен для идентификации устройств, а не людей.

«Эта уязвимость не уникальна ни для MGM, ни для Okta; это системная проблема многофакторной аутентификации», — говорит Пейнтер. «МИД проверяет устройства, а не людей. Ему не хватает безопасной регистрации и восстановления — двух моментов, когда вам нужно знать, какой человек проходит аутентификацию. Это известная проблема, для решения которой MFA не была создана».

Это развивающаяся история.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• ЧартПрайм. Улучшите свою торговую игру с ChartPrime. Доступ здесь.
• Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/okta-flaw-involved-mgm-resorts-breach-attackers-claim