UBER ЗЛАМАЛИ, хвалиться хакером – як запобігти цьому з вами

За всіма ознаками, а їх, на жаль, багато, хакер – у незаконно зламати вашу мережу сенсі, а не в а вирішувати проблеми суперскладного кодування в дивовижний спосіб сенс – увірвався в компанію спільного використання поїздок Uber.

У відповідності з звітом ВВС каже, що хакеру лише 18 років, і, схоже, він здійснив атаку з тієї ж причини, яка спонукала британського альпініста Джордж Меллорі продовжувати намагатися (і зрештою померти під час спроби) піднятися на Еверест у 1920-х роках…

...«тому що воно там».

Uber, зрозуміло, наразі не сказав більше [2022-09-16T15:45Z], ніж оголосити на Twitter:

Зараз ми реагуємо на інцидент із кібербезпекою. Ми зв’язуємося з правоохоронними органами та публікуватимемо тут додаткові оновлення, щойно вони стануть доступними.

- Uber Comms (@ Uber_Comms) Вересень 16, 2022

Скільки ми знаємо наразі?

Якщо масштаби вторгнення такі широкі, як припустив ймовірний хакер, виходячи зі скріншотів, які ми бачили в Twitter, ми не здивовані тим, що Uber поки що не надав жодної конкретної інформації, особливо враховуючи, що правоохоронні органи бере участь у розслідуванні.

Коли справа доходить до судової експертизи кіберінцидентів, диявол насправді в деталях.

Тим не менш, загальнодоступні дані, нібито оприлюднені самим хакером і широко поширені, здається, свідчать про те, що цей злом мав дві основні причини, які ми опишемо за допомогою середньовічної аналогії.

Зловмисник:

• Обманом впустили інсайдера на подвір’я, або двір замку. Це територія всередині крайньої стіни замку, але окремо від найкраще захищеної частини.
• Знайдено деталі без нагляду, що пояснюють, як отримати доступ до зберігання, або грудка. Як випливає з назви, тримати є центральною оборонною фортецею традиційного середньовічного європейського замку.

Початковий злом

Жаргонічний термін для того, щоб потрапити в 21 століття, еквівалент замкового двору: соціальна інженерія.

Як ми всі знаємо, є багато шляхів що зловмисники, які мають час, терпіння та дар балакуни, можуть переконати навіть добре поінформованого й доброзичливого користувача допомогти їм обійти процеси безпеки, які мають запобігти їм.

Автоматизовані або напівавтоматичні трюки соціальної інженерії включають шахрайство електронною поштою та миттєвими повідомленнями.

Ці шахрайства спонукають користувачів вводити свої реєстраційні дані, часто включаючи коди 2FA, на підроблених веб-сайтах, які виглядають як справжні, але насправді надають зловмисникам необхідні коди доступу.

Для користувача, який уже ввійшов у систему і, таким чином, тимчасово аутентифікований для свого поточного сеансу, зловмисники можуть спробувати отримати так звані файли cookie або маркери доступу на комп'ютері користувача.

Впроваджуючи зловмисне програмне забезпечення, яке захоплює існуючі сеанси, наприклад, зловмисники можуть маскуватися під законного користувача протягом достатнього часу, щоб повністю заволодіти ним, не потребуючи жодних звичайних облікових даних, які користувачеві потрібні для входу з нуля:

І якщо все інше не допомагає — або, можливо, навіть замість того, щоб спробувати механічні методи, описані вище, зловмисники можуть просто зателефонувати користувачеві та зачарувати його, або вимовити, або благати, або підкупити, або натомість погрожувати, залежно від того, як розмова розгортається.

Кваліфіковані соціальні інженери часто можуть переконати користувачів із добрими намірами не лише відкрити двері, а й утримати їх відкритими, щоб зловмисникам було ще легше проникнути, і, можливо, навіть нести сумки зловмисника та покажіть їм, куди йти далі.

Так було здійснено сумнозвісний злом Twitter 2020 року, коли 45 облікових записів Twitter із синім прапором, у тому числі облікові записи Білла Гейтса, Ілона Маска та Apple, були захоплені та використані для просування шахрайства з криптовалютою.

Цей злом був не стільки технічним, скільки культурним, здійсненим за допомогою персоналу служби підтримки, який так старався робити правильні речі, що в кінцевому підсумку зробив навпаки:

Повний компроміс

Термін на жаргоні для еквівалента потрапити в замкову фортецю з внутрішнього двору підвищення пільг.

Як правило, зловмисники навмисно шукають і використовують відомі вразливості безпеки всередині, навіть якщо вони не можуть знайти спосіб використати їх ззовні, оскільки захисники потрудилися захистити від них на периметрі мережі.

Наприклад, нещодавно ми опублікували опитування про вторгнення Швидке реагування Sophos Команда досліджувала в 2021 році, ми виявили, що лише в 15% початкових вторгнень, коли зловмисники перелазять зовнішню стіну і проникають у захисну стіну, злочинцям вдалося зламати за допомогою RDP.

(RDP - це скорочення від протокол віддаленого робочого столу, і це широко використовуваний компонент Windows, який дозволяє користувачеві X працювати віддалено на комп’ютері Y, де Y часто є сервером, який не має власного екрана та клавіатури, і справді може перебувати на трьох поверхах під землею в серверній кімнаті , або по всьому світу в хмарному центрі обробки даних.)

Але у 80% атак злочинці використовували RDP, коли вони були всередині, щоб майже довільно блукати мережею:

Не менш тривожним є те, що коли програми-вимагачі не були задіяні (оскільки атака програм-вимагачів миттєво стає очевидним, що вас було зламано!), середній середній час, протягом якого злочинці були непомітно блукають мережею становив 34 дні – більше календарного місяця:

Інцидент з Uber

Ми ще не впевнені, як була здійснена початкова соціальна інженерія (скорочено до SE на хакерському жаргоні), але дослідник загроз Білл Деміркапі твітнув скріншот це, здається, розкриває (з вилученими точними деталями), як було досягнуто підвищення привілеїв.

Мабуть, незважаючи на те, що хакер починав як звичайний користувач і тому мав доступ лише до деяких частин мережі…

…невелике блукання та підглядання незахищених спільних ресурсів у мережі виявило відкритий мережевий каталог, який містив купу сценаріїв PowerShell…

…який містить жорстко закодовані облікові дані безпеки для доступу адміністратора до продукту, відомого на жаргоні як PAM, скорочення від Менеджер привілейованого доступу.

Як випливає з назви, PAM — це система, яка використовується для керування обліковими даними та контролю доступу до всіх (або принаймні багатьох) інших продуктів і послуг, що використовуються організацією.

Криво кажучи, зловмисник, який, ймовірно, починав зі скромним і, можливо, дуже обмеженим обліковим записом користувача, натрапив на ueber-ueber-пароль, який розблокував багато ueber-паролів глобальних ІТ-операцій Uber.

Ми не впевнені, наскільки широко зловмисник міг охопити базу даних PAM, але публікації з багатьох джерел у Twitter свідчать про те, що зловмиснику вдалося проникнути в більшу частину ІТ-інфраструктури Uber.

Хакер нібито скинув дані, щоб показати, що вони отримали доступ принаймні до таких бізнес-систем: робочі простори Slack; Програмне забезпечення Uber для захисту від загроз (те, що часто випадково називають антивірусний); консоль AWS; інформація про поїздки та витрати компанії (включаючи імена працівників); консоль віртуального сервера vSphere; список Google Workspaces; і навіть власну службу винагороди за помилки Uber.

(Очевидно і за іронією долі хакер гучно хвалився великими літерами, як показано в заголовку, через службу винагороди за помилки UBER ЗЛАМАЛИ.)

Що ж робити?

У цьому випадку легко вказати пальцем на Uber і натякнути, що це порушення слід вважати набагато гіршим, ніж інші, просто через гучний і дуже публічний характер усього цього.

Але сумна правда полягає в тому, що багато, якщо не більшість, сучасних кібератак, як виявилося, призвели до того, що зловмисники отримали саме такий рівень доступу…

…або принаймні потенційно мати такий рівень доступу, навіть якщо вони зрештою не нишпорили всюди, де тільки могли.

Зрештою, багато атак програм-вимагачів сьогодні є не початком, а кінцем вторгнення, яке, ймовірно, тривало днями чи тижнями, а може й місяцями, за цей час зловмисникам, ймовірно, вдалося просунути себе, щоб мати рівний статус із найвищим системним адміністратором в компанії, яку вони зламали.

Ось чому атаки програм-вимагачів часто такі нищівні, тому що до моменту атаки залишається кілька ноутбуків, серверів або служб, до яких злочинці не мають доступу, тож вони майже буквально можуть зашифрувати все.

Іншими словами, те, що, здається, сталося з Uber у цьому випадку, не є новою чи унікальною історією витоку даних.

Отже, ось кілька порад, що спонукають до роздумів, які можна використати як відправну точку для покращення загальної безпеки у вашій власній мережі:

• Менеджери паролів і 2FA не є панацеєю. Використання добре підібраних паролів не дозволяє шахраям вгадуватись, а безпека 2FA на основі одноразових кодів або маркерів доступу до апаратного забезпечення (зазвичай невеликі ключі USB або NFC, які користувач повинен носити з собою) ускладнює, часто набагато ускладнює, нападники. Але проти сьогоднішнього т. зв атаки, керовані людьми, коли «активні супротивники» беруть участь особисто та безпосередньо у вторгненні, вам потрібно допомогти своїм користувачам змінити їхню загальну поведінку в Інтернеті, щоб вони були менш імовірними, щоб їх переконали в обході процедур, незалежно від того, наскільки комплексними та складними можуть бути ці процедури.
• Безпека актуальна всюди в мережі, а не лише на межі. Сьогодні дуже багатьом користувачам потрібен доступ принаймні до частини вашої мережі – співробітникам, підрядникам, тимчасовим співробітникам, охоронцям, постачальникам, партнерам, прибиральникам, клієнтам тощо. Якщо налаштування безпеки варто посилити на периметрі вашої мережі, то майже напевно його також потрібно посилити «всередині». Особливо це стосується латання. Як ми любимо говорити на Naked Security, «Латайте рано, латайте часто, латайте всюди».
• Регулярно вимірювайте та перевіряйте свою кібербезпеку. Ніколи не думайте, що запобіжні заходи, які ви думали, що ви вжили, справді працюють. Не припускайте; завжди перевіряти. Крім того, пам’ятайте, що оскільки постійно з’являються нові інструменти, методи та процедури кібератак, ваші запобіжні заходи потрібно переглядати регулярно. Простими словами, «Кібербезпека — це подорож, а не пункт призначення».
• Подумайте про те, щоб отримати допомогу експерта. Підписка на а Кероване виявлення та реагування (MDR) — це не визнання невдачі чи ознака того, що ви самі не розумієте кібербезпеки. MDR не скасовує вашу відповідальність – це просто спосіб мати відданих експертів під рукою, коли вони вам справді потрібні. MDR також означає, що у випадку атаки вашим власним співробітникам не доведеться кидати все, що вони зараз роблять (включно з регулярними завданнями, життєво важливими для безперервності вашого бізнесу), і таким чином потенційно залишати відкритими інші діри в безпеці.
• Прийміть підхід нульової довіри. Нульова довіра буквально не означає, що ви ніколи нікому нічого не довіряєте. Це метафора для «не робіть припущень» і «ніколи не дозволяйте нікому робити більше, ніж вони суворо потребують». Доступ до мережі без довіри (ZTNA) не працюють як традиційні засоби захисту мережі, такі як VPN. VPN, як правило, забезпечує безпечний спосіб для сторонніх осіб отримати загальний доступ до мережі, після чого вони часто користуються набагато більшою свободою, ніж їм насправді потрібно, дозволяючи їм бродити, стежити та нишпорити, шукаючи ключі від решти замку. Доступ із нульовою довірою використовує набагато більш детальний підхід, тож якщо все, що вам справді потрібно зробити, це переглянути останній внутрішній прайс-лист, ви отримаєте саме цей доступ. Ви також не отримаєте права блукати на форумах підтримки, переглядати записи про продажі чи пхати свого носа в базу даних вихідного коду.
• Створіть гарячу лінію з кібербезпеки для персоналу, якщо у вас її ще немає. Спростіть будь-кому повідомляти про проблеми з кібербезпекою. Незалежно від того, чи це підозрілий телефонний дзвінок, малоймовірне вкладення електронної пошти чи навіть просто файл, який, ймовірно, не повинен бути там у мережі, майте єдину точку контакту (наприклад, securityreport@yourbiz.example), завдяки чому ваші колеги можуть швидко та легко зателефонувати.
• Ніколи не відмовляйтеся від людей. Одні тільки технології не можуть вирішити всі ваші проблеми кібербезпеки. Якщо ви з повагою ставитеся до свого персоналу та дотримуєтеся кібербезпеки «Немає такого поняття, як дурне запитання, є лише дурна відповідь», тоді ви зможете перетворити кожного в організації на очі та вуха своєї команди безпеки.

---

Чому б не приєднатися до нас цього року з 26 по 29 вересня 2022 року Тиждень Sophos Security SOS:

Чотири короткі, але захопливі розмови зі світовими експертами.

Дізнайтеся про захист, виявлення та реагування,
і як створити успішну власну команду SecOps:

---