Av allt att döma, och tyvärr finns det många av dem, en hackare – i bryta-och-träda-ditt-nätverk-olagligt mening, inte i en lösa-super-hårda-kodningsproblem-på-ett-funky-sätt sense – har brutit sig in i samåkningsföretaget Uber.
Enligt en rapport från BBC sägs hackaren vara bara 18 år gammal och verkar ha slutat attacken av samma sorts anledning som den berömda drev brittiska bergsklättraren George Mallory att fortsätta försöka (och slutligen dö i försöket) att toppa Mount Everest på 1920-talet...
."för att den finns där."
Uber, förståeligt nog, har inte sagt så mycket mer hittills [2022-09-16T15:45Z] än att meddela på Twitter:
Vi svarar för närvarande på en cybersäkerhetsincident. Vi är i kontakt med brottsbekämpande myndigheter och kommer att publicera ytterligare uppdateringar här när de blir tillgängliga.
- Uber Comms (@Uber_Comms) September 16, 2022
Hur mycket vet vi än så länge?
Om omfattningen av intrånget är så bred som den påstådda hackaren har föreslagit, baserat på de skärmdumpar vi har sett på Twitter, är vi inte förvånade över att Uber inte har erbjudit någon specifik information ännu, särskilt med tanke på att brottsbekämpning är inblandad i utredningen.
När det gäller kriminalteknik för cyberincidenter jäkel ligger verkligen i detaljerna.
Icke desto mindre verkar offentligt tillgänglig data, som påstås ha släppts av hackaren själv och distribueras brett, antyda att detta hack hade två bakomliggande orsaker, som vi kommer att beskriva med en medeltida analogi.
Inkräktaren:
- Lurade en insider att släppa in dem på innergården, eller bailey. Det är området innanför den yttersta slottsmuren, men skilt från den bäst försvarade delen.
- Hittade obevakad information som förklarar hur man kommer åt Keep, eller mal. Som namnet antyder, hålla är det centrala defensiva fästet för ett traditionellt medeltida europeiskt slott.
Det första inbrottet
Den jargongterm som används för att ta sig in i 21-talets motsvarighet till slottsgården är socialteknik.
Som vi alla vet finns det många sätt att angripare med tid, tålamod och gabbens gåva kan övertala även en välinformerad och välmenande användare att hjälpa dem kringgå säkerhetsprocesserna som är tänkta att hålla dem utanför.
Automatiserade eller halvautomatiska sociala ingenjörsknep inkluderar e-post och IM-baserade nätfiskebedrägerier.
Dessa bedrägerier lockar användare att ange sina inloggningsuppgifter, ofta inklusive deras 2FA-koder, på förfalskade webbplatser som ser ut som den riktiga affären men som faktiskt levererar de nödvändiga åtkomstkoderna till angriparna.
För en användare som redan är inloggad, och därmed är tillfälligt autentiserad för sin nuvarande session, kan angripare försöka få till s.k. cookies eller åtkomsttokens på användarens dator.
Genom att till exempel implantera skadlig programvara som kapar befintliga sessioner, kan angripare maskera sig som en legitim användare tillräckligt länge för att ta över helt, utan att behöva någon av de vanliga inloggningsuppgifter som användaren själv krävde för att logga in från början:
Och om allt annat misslyckas – eller kanske till och med istället för att pröva de mekaniska metoderna som beskrivs ovan – kan angriparna helt enkelt ringa upp en användare och charma dem, eller gnälla, eller tigga, eller muta, eller lura, eller hota dem istället, beroende på hur samtalet utspelar sig.
Skickliga socialingenjörer kan ofta övertyga välmenande användare att inte bara öppna dörren i första hand, utan också att hålla den öppen för att göra det ännu lättare för angriparna att ta sig in och kanske till och med bära angriparens väskor och visa dem var de ska gå härnäst.
Det var så det ökända Twitter-hacket 2020 genomfördes, där 45 Twitter-konton med blå flagg, inklusive Bill Gates, Elon Musk och Apple, togs över och användes för att främja en kryptovaluta-bluff.
Det hacket var inte så mycket tekniskt som kulturellt, utfört via supportpersonal som försökte så hårt för att göra rätt att det slutade med att de gjorde precis tvärtom:
Fullständig kompromiss
Jargongtermen för motsvarigheten till att ta sig in i slottets borg från borggården är höjning av privilegiet.
Vanligtvis kommer angripare medvetet att leta efter och använda kända säkerhetsbrister internt, även om de inte kunde hitta ett sätt att utnyttja dem utifrån eftersom försvararna hade gjort sig besväret att skydda mot dem vid nätverkets omkrets.
Till exempel, i en undersökning som vi nyligen publicerade om intrång som Sophos Rapid Response team som undersöktes 2021, fann vi att i endast 15 % av de första intrången – där angriparna tar sig över ytterväggen och in i borggården – kunde brottslingarna bryta sig in med RDP.
(RDP är en förkortning för protokoll för fjärrskrivbord, och det är en mycket använd Windows-komponent som är utformad för att låta användare X arbeta på distans på dator Y, där Y ofta är en server som inte har en egen skärm och tangentbord, och som faktiskt kan vara tre våningar under jord i ett serverrum , eller över hela världen i ett molndatacenter.)
Men i 80 % av attackerna använde brottslingarna RDP när de väl var inne för att vandra nästan efter behag genom nätverket:
Lika oroande, när ransomware inte var inblandad (eftersom en ransomware-attack gör det omedelbart uppenbart att du har blivit kränkt!), den genomsnittliga mediantiden för brottslingarna. roamer nätverket obemärkt var 34 dagar – mer än en kalendermånad:
Uber-incidenten
Vi är ännu inte säkra på hur den första sociala ingenjörskonsten (förkortad till SE i hacking-jargong) genomfördes, men hotforskaren Bill Demirkapi har twittrade en skärmdump som verkar avslöja (med exakta detaljer redigerade) hur höjningen av privilegier uppnåddes.
Tydligen, även om hackaren började som en vanlig användare och därför bara hade tillgång till vissa delar av nätverket...
… lite vandrande och snoka på oskyddade resurser på nätverket avslöjade en öppen nätverkskatalog som innehöll ett gäng PowerShell-skript …
…som inkluderade hårdkodade säkerhetsuppgifter för administratörsåtkomst till en produkt som på jargongen kallas PAM, förkortning för Privilegerad åtkomsthanterare.
Som namnet antyder är en PAM ett system som används för att hantera referenser för och kontrollera åtkomst till alla (eller åtminstone många) andra produkter och tjänster som används av en organisation.
Snålt uttryckt, angriparen, som förmodligen började med ett ödmjukt och kanske mycket begränsat användarkonto, snubblade över ett ueber-ueber-lösenord som låste upp många av ueber-lösenorden för Ubers globala IT-verksamhet.
Vi är inte säkra på hur brett hackaren kunde ströva när de väl hade öppnat PAM-databasen, men Twitter-inlägg från många källor tyder på att angriparen kunde penetrera mycket av Ubers IT-infrastruktur.
Hackaren påstås ha dumpat data för att visa att de hade åtkomst till åtminstone följande affärssystem: Slaka arbetsytor; Ubers mjukvara för hotskydd (det som ofta fortfarande hänvisas till som en anti-virus); en AWS-konsol; information om företagsresor och utgifter (inklusive anställdas namn); en virtuell vSphere-serverkonsol; en lista över Google Workspaces; och även Ubers egen bug-bounty-tjänst.
(Tydligen, och ironiskt nog var bug-bounty-tjänsten där hackaren skröt högt med versaler, som visas i rubriken, att UBER HAR HACKATS.)
Vad göra?
Det är lätt att peka fingrar åt Uber i det här fallet och antyda att denna intrång borde anses vara mycket värre än de flesta, helt enkelt på grund av den högljudda och mycket offentliga karaktären av det hela.
Men den olyckliga sanningen är att många, om inte de flesta, samtida cyberattacker visar sig ha involverat angriparna som fick exakt denna grad av åtkomst...
… eller åtminstone potentiellt ha den här nivån av åtkomst, även om de till slut inte letade runt överallt som de kunde ha.
När allt kommer omkring representerar många ransomware-attacker nuförtiden inte början utan slutet på ett intrång som troligen varade i dagar eller veckor, och som kan ha varat i månader, under vilken tid angriparna förmodligen lyckades marknadsföra sig själva till att ha samma status som den mest seniora systemadministratören i företaget de hade brutit mot.
Det är därför ransomware-attacker ofta är så förödande – för när attacken kommer finns det få bärbara datorer, servrar eller tjänster som brottslingarna inte har krånglat åt, så de kan nästan bokstavligen förvränga allt.
Med andra ord, det som verkar ha hänt Uber i det här fallet är inte en ny eller unik berättelse om dataintrång.
Så här är några tankeväckande tips som du kan använda som utgångspunkt för att förbättra den övergripande säkerheten i ditt eget nätverk:
- Lösenordshanterare och 2FA är inget universalmedel. Att använda väl valda lösenord hindrar skurkar att gissa sig in, och 2FA-säkerhet baserad på engångskoder eller hårdvaruåtkomsttokens (vanligtvis små USB- eller NFC-donglar som en användare behöver ha med sig) gör saker svårare, ofta mycket svårare, för angripare. Men mot dagens sk människoledda attacker, där "aktiva motståndare" involverar sig personligen och direkt i intrånget, måste du hjälpa dina användare att ändra sitt allmänna onlinebeteende, så att de är mindre benägna att övertalas till kringgående procedurer, oavsett hur omfattande och komplexa dessa procedurer kan vara.
- Säkerhet hör hemma överallt i nätverket, inte bara i kanten. Idag behöver väldigt många användare åtkomst till åtminstone någon del av ditt nätverk – anställda, entreprenörer, tillfällig personal, säkerhetsvakter, leverantörer, partners, städare, kunder med mera. Om en säkerhetsinställning är värd att skärpa upp på vad som känns som din nätverksperimeter, behöver den nästan säkert skärpas upp "inuti" också. Detta gäller särskilt för patchning. Som vi vill säga om Naked Security, "Lätta tidigt, lappa ofta, lappa överallt."
- Mät och testa din cybersäkerhet regelbundet. Anta aldrig att de försiktighetsåtgärder du trodde att du vidtagit verkligen fungerar. Anta inte; alltid verifiera. Kom också ihåg att eftersom nya cyberattackverktyg, tekniker och procedurer dyker upp hela tiden måste dina försiktighetsåtgärder ses över regelbundet. Med enkla ord, "Cybersäkerhet är en resa, inte en destination."
- Överväg att få experthjälp. Anmälan till en Hanterad upptäckt och svar (MDR) tjänst är inte ett erkännande av misslyckande, eller ett tecken på att du inte förstår cybersäkerhet själv. MDR är inte ett upphävande av ditt ansvar – det är helt enkelt ett sätt att ha dedikerade experter till hands när du verkligen behöver dem. MDR innebär också att i händelse av en attack behöver din egen personal inte släppa allt de gör just nu (inklusive vanliga uppgifter som är avgörande för kontinuiteten i din verksamhet), och därmed potentiellt lämna andra säkerhetshål öppna.
- Anta en noll-förtroende strategi. Nollförtroende betyder inte bokstavligen att du aldrig litar på att någon ska göra någonting. Det är en metafor för "gör inga antaganden" och "ge aldrig tillåta någon att göra mer än de absolut behöver". Nätverksåtkomst utan förtroende (ZTNA)-produkter fungerar inte som traditionella nätverkssäkerhetsverktyg som VPN. En VPN ger generellt sett ett säkert sätt för någon utanför att få allmän tillträde till nätverket, varefter de ofta åtnjuter mycket mer frihet än de egentligen behöver, vilket gör att de kan ströva, snoka och peta runt och leta efter nycklarna till resten av slottet. Zero-trust access har ett mycket mer detaljerat tillvägagångssätt, så att om allt du verkligen behöver göra är att bläddra i den senaste interna prislistan, är det åtkomsten du får. Du kommer inte heller att få rätten att vandra in i supportforum, trawla igenom försäljningsregister eller sticka in näsan i källkodsdatabasen.
- Skapa en hotline för cybersäkerhet för personal om du inte redan har en. Gör det enkelt för alla att rapportera cybersäkerhetsproblem. Oavsett om det är ett misstänkt telefonsamtal, en osannolik e-postbilaga, eller till och med bara en fil som förmodligen inte borde finnas där ute på nätverket, har en enda kontaktpunkt (t.ex.
securityreport@yourbiz.example) som gör det snabbt och enkelt för dina kollegor att ringa in den. - Ge aldrig upp människor. Tekniken ensam kan inte lösa alla dina cybersäkerhetsproblem. Om du behandlar din personal med respekt, och om du antar cybersäkerhetsinställningen som "det finns inget som heter en dum fråga, bara ett dumt svar", då kan du göra alla i organisationen till ögon och öron för ditt säkerhetsteam.
Varför inte gå med oss från 26-29 september 2022 för årets Sophos Security SOS Week:
Fyra korta men fascinerande samtal med världsexperter.
Lär dig om skydd, upptäckt och svar,
och hur man skapar ett eget framgångsrikt SecOps-team:
- blockchain
- coingenius
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- dataintrång
- dataförlust
- säkerhetstjänsten
- digitala plånböcker
- brandvägg
- hacking
- kaspersky
- malware
- Mcafee
- Naken säkerhet
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- privatpolicy
- Uber
- VPN
- webbplats säkerhet
- zephyrnet
![S3 Ep119: Brott, lappar, läckor och tweaks! [Ljud + text]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-300x156.jpg "S3 Ep119: Brott, lappar, läckor och tweaks! [Ljud + text]")
![S3 Ep99: TikTok "attack" – var det ett dataintrång, eller inte? [Ljud + text] PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/moth-1200-300x156.jpg "S3 Ep99: TikTok \"attack\" – var det ett dataintrång, eller inte? [Ljud + text]")
![S3 Ep117: Kryptokrisen som inte var (och farväl för alltid till Win 7) [Ljud + text]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep117-the-crypto-crisis-that-wasnt-and-farewell-forever-to-win-7-audio-text-360x188.png "S3 Ep117: Kryptokrisen som inte var (och farväl för alltid till Win 7) [Ljud + text]")
