UBER ĐÃ BỊ HACK, tự hào là hacker - làm thế nào để ngăn điều đó xảy ra với bạn

Bởi tất cả các tài khoản, và đáng buồn là có nhiều tài khoản, là một hacker - trong đột nhập và xâm nhập mạng của bạn một cách bất hợp pháp cảm giác, không phải trong một giải quyết-vấn-đề-siêu-khó-mã-hoá-trong-một-cách-thú-vị sense - đã gia nhập công ty chia sẻ xe Uber.

Theo một báo cáo từ BBC, tin tặc được cho là mới 18 tuổi và dường như đã thực hiện cuộc tấn công vì cùng một lý do khiến vận động viên leo núi nổi tiếng người Anh George Mallory tiếp tục cố gắng (và cuối cùng chết trong nỗ lực) để lên đỉnh Everest vào những năm 1920…

..."Bởi vì nó ở đó."

Có thể hiểu, Uber cho đến nay [2022-09-16T15: 45Z] không nói gì nhiều hơn là tuyên bố trên Twitter:

Chúng tôi hiện đang ứng phó với một sự cố an ninh mạng. Chúng tôi liên hệ với cơ quan thực thi pháp luật và sẽ đăng các cập nhật bổ sung tại đây khi chúng có sẵn.

- Hoa hồng Uber (@Uber_Comms) Ngày 16 tháng 2022 năm XNUMX

Chúng ta biết được bao nhiêu cho đến nay?

Nếu quy mô của cuộc xâm nhập rộng như những gì mà hacker đã đề xuất, dựa trên những ảnh chụp màn hình mà chúng tôi đã thấy trên Twitter, chúng tôi không ngạc nhiên khi Uber chưa cung cấp bất kỳ thông tin cụ thể nào, đặc biệt là khi cơ quan thực thi pháp luật tham gia vào cuộc điều tra.

Khi nói đến pháp y bảo mật, ma quỷ thực sự là trong các chi tiết.

Tuy nhiên, dữ liệu có sẵn công khai, được cho là do chính hacker tung ra và được phân phối rộng rãi, dường như cho thấy rằng vụ hack này có hai nguyên nhân cơ bản, mà chúng tôi sẽ mô tả bằng một cách tương tự thời trung cổ.

Kẻ đột nhập:

• Lừa một người trong cuộc để họ vào sân trong, hoặc tường ngoài của lâu đài. Đó là khu vực bên trong bức tường thành ngoài cùng, nhưng tách biệt với phần được bảo vệ tốt nhất.
• Tìm thấy thông tin chi tiết không cần giám sát giải thích cách truy cập lưu giữ hoặc motte. Như tên cho thấy, giữ là thành trì phòng thủ trung tâm của một lâu đài châu Âu thời Trung cổ truyền thống.

Sự đột phá ban đầu

Thuật ngữ biệt ngữ để chỉ đường đi của bạn vào thế kỷ 21 tương đương với sân trong lâu đài là kỹ thuật xã hội.

Như chúng ta đã biết, có nhiều cách rằng những kẻ tấn công với thời gian, sự kiên nhẫn và món quà của chiếc gab có thể thuyết phục ngay cả một người dùng hiểu biết và có thiện chí giúp họ vượt qua các quy trình bảo mật được cho là ngăn chặn họ.

Các thủ thuật kỹ thuật xã hội tự động hoặc bán tự động bao gồm các trò gian lận lừa đảo dựa trên email và IM.

Những trò gian lận này thu hút người dùng nhập chi tiết đăng nhập của họ, thường bao gồm mã 2FA của họ, trên các trang web giả mạo trông giống như giao dịch thật nhưng thực sự cung cấp mã truy cập cần thiết cho những kẻ tấn công.

Đối với người dùng đã đăng nhập và do đó tạm thời được xác thực cho phiên hiện tại của họ, những kẻ tấn công có thể cố gắng lấy được cái gọi là cookie hoặc mã thông báo truy cập trên máy tính của người dùng.

Ví dụ: bằng cách cấy phần mềm độc hại chiếm quyền điều khiển các phiên hiện có, những kẻ tấn công có thể giả dạng người dùng hợp pháp đủ lâu để chiếm quyền điều khiển hoàn toàn mà không cần bất kỳ thông tin đăng nhập thông thường nào mà người dùng yêu cầu để đăng nhập từ đầu:

Và nếu vẫn thất bại - hoặc thậm chí có thể thay vì thử các phương pháp cơ học được mô tả ở trên - những kẻ tấn công có thể chỉ cần gọi một người dùng và quyến rũ họ, hoặc van xin, hoặc cầu xin, hoặc hối lộ, hoặc vỗ về hoặc đe dọa họ, tùy thuộc vào cách cuộc trò chuyện mở ra.

Các kỹ sư xã hội có tay nghề cao thường có thể thuyết phục những người dùng có thiện chí không chỉ mở cửa ngay từ đầu, mà còn giữ nó mở để giúp những kẻ tấn công xâm nhập dễ dàng hơn và thậm chí có thể mang theo túi của kẻ tấn công và chỉ cho họ nơi để đi tiếp theo.

Đó là cách mà vụ hack Twitter khét tiếng vào năm 2020 đã được thực hiện, trong đó 45 tài khoản Twitter được gắn cờ xanh, bao gồm của Bill Gates, Elon Musk và Apple, đã bị chiếm đoạt và được sử dụng để quảng bá cho một vụ lừa đảo tiền điện tử.

Việc hack đó không liên quan nhiều đến kỹ thuật cũng như văn hóa, được thực hiện thông qua nhân viên hỗ trợ, những người đã cố gắng rất nhiều để làm đúng điều mà cuối cùng họ đã làm hoàn toàn ngược lại:

Thỏa hiệp hoàn toàn

Thuật ngữ biệt ngữ tương đương với việc vào trong lâu đài từ sân trong là nâng cao đặc quyền.

Thông thường, những kẻ tấn công sẽ cố tình tìm kiếm và sử dụng các lỗ hổng bảo mật đã biết trong nội bộ, ngay cả khi họ không thể tìm cách khai thác chúng từ bên ngoài vì những kẻ bảo vệ đã gặp khó khăn để bảo vệ chống lại chúng ở vành đai mạng.

Ví dụ: trong một cuộc khảo sát mà chúng tôi đã công bố gần đây về các cuộc xâm nhập mà Phản hồi nhanh của Sophos nhóm đã điều tra vào năm 2021, chúng tôi phát hiện ra rằng chỉ trong 15% các vụ xâm nhập ban đầu - nơi những kẻ tấn công vượt qua bức tường bên ngoài và vào khu bảo tồn - là tội phạm có thể đột nhập bằng cách sử dụng RDP.

(RDP là viết tắt của giao thức máy tính để bàn từ xavà đó là một thành phần Windows được sử dụng rộng rãi, được thiết kế để cho phép người dùng X làm việc từ xa trên máy tính Y, trong đó Y thường là một máy chủ không có màn hình và bàn phím riêng và có thể thực sự là ba tầng ngầm trong một phòng máy chủ. hoặc trên toàn thế giới trong một trung tâm dữ liệu đám mây.)

Nhưng trong 80% các cuộc tấn công, bọn tội phạm đã sử dụng RDP khi chúng ở bên trong để đi lang thang gần như theo ý muốn trên toàn mạng:

Cũng đáng lo ngại là khi không tham gia ransomware (vì một cuộc tấn công ransomware làm cho chúng ta thấy ngay lập tức bạn đã bị xâm phạm!), Thời gian trung bình mà bọn tội phạm đã chuyển vùng mạng không được chú ý là 34 ngày - hơn một tháng dương lịch:

Sự cố Uber

Chúng tôi vẫn chưa chắc chắn kỹ thuật xã hội ban đầu (viết tắt là SE trong biệt ngữ hacking) được thực hiện như thế nào, nhưng nhà nghiên cứu mối đe dọa Bill Demirkapi đã đã tweet một ảnh chụp màn hình điều đó dường như tiết lộ (với các chi tiết chính xác được biên tập lại) cách thức đạt được sự nâng cao đặc quyền.

Rõ ràng, mặc dù hacker bắt đầu với tư cách là một người dùng bình thường và do đó chỉ có quyền truy cập vào một số phần của mạng…

… Một chút lang thang và rình mò các chia sẻ không được bảo vệ trên mạng đã tiết lộ một thư mục mạng mở bao gồm một loạt các tập lệnh PowerShell…

… Bao gồm thông tin xác thực bảo mật được mã hóa cứng để quản trị viên truy cập vào một sản phẩm được gọi bằng biệt ngữ là PAM, viết tắt của Trình quản lý quyền truy cập đặc quyền.

Như tên cho thấy, PAM là một hệ thống được sử dụng để quản lý thông tin xác thực và kiểm soát quyền truy cập vào tất cả (hoặc ít nhất là rất nhiều) các sản phẩm và dịch vụ khác được sử dụng bởi một tổ chức.

Nói một cách khó hiểu, kẻ tấn công, người có thể bắt đầu với một tài khoản người dùng khiêm tốn và có lẽ rất hạn chế, đã tình cờ tìm được mật khẩu ueber-ueber đã mở khóa nhiều mật khẩu ueber trong các hoạt động CNTT toàn cầu của Uber.

Chúng tôi không chắc tin tặc có thể di chuyển rộng rãi đến mức nào sau khi họ mở cơ sở dữ liệu PAM, nhưng các bài đăng trên Twitter từ nhiều nguồn cho thấy kẻ tấn công đã có thể xâm nhập phần lớn cơ sở hạ tầng CNTT của Uber.

Tin tặc bị cáo buộc đã bán dữ liệu để cho thấy rằng họ đã truy cập ít nhất vào các hệ thống kinh doanh sau: Không gian làm việc Slack; Phần mềm bảo vệ mối đe dọa của Uber (cái mà người ta vẫn thường gọi là chống virus); bảng điều khiển AWS; thông tin chi phí và du lịch của công ty (bao gồm cả tên nhân viên); bảng điều khiển máy chủ ảo vSphere; danh sách Google Workspaces; và thậm chí cả dịch vụ tiền thưởng lỗi của riêng Uber.

(Rõ ràng, và trớ trêu thay, dịch vụ tiền thưởng lỗi lại là nơi mà hacker đã khoe khoang rất lớn bằng chữ in hoa, như được hiển thị trong tiêu đề, rằng UBER ĐÃ BỊ HACK.)

Phải làm gì?

Thật dễ dàng để chỉ tay vào Uber trong trường hợp này và ngụ ý rằng vi phạm này nên được coi là tồi tệ hơn nhiều so với hầu hết, đơn giản vì tính chất ồn ào và rất công khai của tất cả.

Nhưng sự thật không may là rất nhiều, nếu không muốn nói là hầu hết, các cuộc tấn công mạng đương đại hóa ra lại liên quan đến việc những kẻ tấn công có được chính xác mức độ truy cập này…

… Hoặc ít nhất là có khả năng có được mức độ truy cập này, ngay cả khi cuối cùng họ không đi khắp nơi mà họ có thể có.

Rốt cuộc, nhiều cuộc tấn công ransomware ngày nay không phải là sự khởi đầu mà là sự kết thúc của một cuộc xâm nhập có thể kéo dài vài ngày hoặc vài tuần, và có thể kéo dài hàng tháng, trong thời gian đó những kẻ tấn công có thể cố gắng quảng bá bản thân để có địa vị bình đẳng với sysadmin cao cấp nhất trong công ty mà họ đã vi phạm.

Đó là lý do tại sao các cuộc tấn công bằng ransomware thường rất tàn khốc - bởi vì, vào thời điểm cuộc tấn công xảy ra, có rất ít máy tính xách tay, máy chủ hoặc dịch vụ mà bọn tội phạm không tranh giành quyền truy cập, vì vậy chúng gần như có thể xáo trộn mọi thứ.

Nói cách khác, điều dường như đã xảy ra với Uber trong trường hợp này không phải là một câu chuyện vi phạm dữ liệu mới hay duy nhất.

Vì vậy, đây là một số mẹo kích thích tư duy mà bạn có thể sử dụng làm điểm khởi đầu để cải thiện bảo mật tổng thể trên mạng của riêng mình:

• Trình quản lý mật khẩu và 2FA không phải là thuốc chữa bách bệnh. Việc sử dụng mật khẩu được lựa chọn tốt sẽ ngăn kẻ gian đoán được đường vào của chúng và bảo mật 2FA dựa trên mã dùng một lần hoặc mã thông báo truy cập phần cứng (thường là USB hoặc khóa NFC nhỏ mà người dùng cần mang theo bên mình) khiến mọi thứ trở nên khó khăn hơn, thường khó hơn rất nhiều. những kẻ tấn công. Nhưng chống lại cái gọi là ngày nay các cuộc tấn công do con người dẫn đầu, khi “những kẻ thù đang hoạt động” liên quan đến bản thân họ và trực tiếp tham gia vào cuộc xâm nhập, bạn cần giúp người dùng của mình thay đổi hành vi trực tuyến chung của họ, để họ ít có khả năng bị nói đến các thủ tục lách luật, bất kể các thủ tục đó có thể toàn diện và phức tạp đến mức nào.
• Bảo mật thuộc về mọi nơi trong mạng, không chỉ ở rìa. Ngày nay, rất nhiều người dùng cần quyền truy cập vào ít nhất một phần nào đó trong mạng của bạn - nhân viên, nhà thầu, nhân viên tạm thời, nhân viên bảo vệ, nhà cung cấp, đối tác, người dọn dẹp, khách hàng và hơn thế nữa. Nếu một thiết lập bảo mật đáng được thắt chặt ở những gì cảm thấy giống như chu vi mạng của bạn, thì nó gần như chắc chắn cũng cần thắt chặt “bên trong”. Điều này đặc biệt áp dụng cho việc vá lỗi. Như chúng tôi muốn nói trên Naked Security, "Vá sớm, vá thường xuyên, vá mọi nơi."
• Đo lường và kiểm tra an ninh mạng của bạn một cách thường xuyên. Đừng bao giờ cho rằng các biện pháp phòng ngừa mà bạn nghĩ rằng bạn đã áp dụng thực sự có hiệu quả. Đừng cho rằng; luôn luôn xác minh. Ngoài ra, hãy nhớ rằng vì các công cụ, kỹ thuật và quy trình tấn công mạng mới luôn xuất hiện, nên các biện pháp phòng ngừa của bạn cần được xem xét thường xuyên. Nói một cách dễ hiểu, "An ninh mạng là một cuộc hành trình, không phải là một điểm đến."
• Cân nhắc nhờ chuyên gia trợ giúp. Đăng ký một Phát hiện và phản hồi được quản lý (MDR) dịch vụ không phải là sự thừa nhận của sự thất bại, hoặc một dấu hiệu cho thấy bạn không hiểu chính mình về an ninh mạng. MDR không phải là sự phủ nhận trách nhiệm của bạn - đó chỉ đơn giản là một cách để có các chuyên gia tận tâm hỗ trợ khi bạn thực sự cần họ. MDR cũng có nghĩa là trong trường hợp bị tấn công, nhân viên của chính bạn không phải bỏ mọi thứ họ đang làm (bao gồm cả các nhiệm vụ thường xuyên quan trọng đối với sự liên tục của doanh nghiệp của bạn), và do đó có khả năng để hở các lỗ hổng bảo mật khác.
• Áp dụng phương pháp không tin tưởng. Không tin tưởng theo nghĩa đen không có nghĩa là bạn không bao giờ tin tưởng bất cứ ai để làm bất cứ điều gì. Đó là một phép ẩn dụ cho việc “không đưa ra giả định” và “không bao giờ ủy quyền cho bất kỳ ai làm nhiều hơn mức họ cần”. Truy cập mạng không tin cậy Các sản phẩm (ZTNA) không hoạt động giống như các công cụ bảo mật mạng truyền thống như VPN. VPN nói chung cung cấp một cách an toàn để ai đó bên ngoài có thể truy cập chung vào mạng, sau đó họ thường được hưởng nhiều tự do hơn những gì họ thực sự cần, cho phép họ đi lang thang, rình mò và tìm kiếm chìa khóa của phần còn lại của lâu đài. Quyền truy cập Zero-Trust có cách tiếp cận chi tiết hơn nhiều, vì vậy nếu tất cả những gì bạn thực sự cần làm là duyệt qua bảng giá nội bộ mới nhất, thì đó là quyền truy cập bạn sẽ nhận được. Bạn cũng sẽ không có quyền đi lang thang vào các diễn đàn hỗ trợ, lướt qua các hồ sơ bán hàng hoặc chọc mũi vào cơ sở dữ liệu mã nguồn.
• Thiết lập đường dây nóng về an ninh mạng cho nhân viên nếu bạn chưa có. Giúp mọi người dễ dàng báo cáo các vấn đề về an ninh mạng. Cho dù đó là một cuộc điện thoại đáng ngờ, một tệp đính kèm email không chắc chắn hoặc thậm chí chỉ là một tệp có lẽ không nên có trên mạng, hãy có một đầu mối liên hệ (ví dụ: securityreport@yourbiz.example) giúp đồng nghiệp của bạn gọi điện thoại nhanh chóng và dễ dàng.
• Đừng bao giờ từ bỏ mọi người. Công nghệ một mình không thể giải quyết tất cả các vấn đề an ninh mạng của bạn. Nếu bạn đối xử với nhân viên của mình một cách tôn trọng và nếu bạn áp dụng thái độ an ninh mạng "Không có cái gọi là một câu hỏi ngớ ngẩn, chỉ có một câu trả lời ngu ngốc", sau đó bạn có thể biến mọi người trong tổ chức thành tai mắt cho đội bảo mật của mình.

---

Tại sao không tham gia với chúng tôi từ ngày 26-29 tháng 2022 năm XNUMX cho năm nay Tuần lễ SOS bảo mật Sophos:

Bốn cuộc nói chuyện ngắn nhưng hấp dẫn với các chuyên gia thế giới.

Tìm hiểu về bảo vệ, phát hiện và phản hồi,
và cách thiết lập một nhóm SecOps thành công của riêng bạn:

---