Rozpakowywanie LastPass Incydent 2: Taktyka, techniki i procedury

LastPass, popularny menedżer haseł, doświadczył niedawno drugiego cyberataku, nawet po podjęciu szybkich działań w celu rozwiązania problemu pierwszego. Ten drugi atak był skoordynowanym działaniem, w którym wykorzystano informacje skradzione podczas pierwszego incydentu, informacje uzyskane z naruszenia danych stron trzecich oraz lukę w pakiecie oprogramowania multimedialnego stron trzecich.

Atakujący obrał za cel infrastrukturę, zasoby i pracownika LastPass, używając różnych taktyk, technik i procedur, które były niespójne z tymi z pierwszego incydentu. Jednak atakujący był w stanie przejść od pierwszego incydentu i zaangażować się w nową serię działań rozpoznawczych, enumeracji i eksfiltracji dostosowanych do środowiska przechowywania danych w chmurze.

Napastnik mógł uzyskać dostęp do zasobów pamięci masowej w chmurze, w tym wiader S3 zawierających kopie zapasowe klientów LastPass i zaszyfrowane dane skarbca, uzyskując klucze dostępu AWS i wygenerowane przez LastPass klucze deszyfrujące. Atakujący obrał sobie za cel jednego z czterech inżynierów DevOps, który miał dostęp do kluczy deszyfrujących, wykorzystując podatny na atak pakiet oprogramowania multimedialnego firm trzecich zainstalowany na domowym komputerze pracownika. Dzięki temu napastnik wszczepił złośliwe oprogramowanie keyloggera i przechwycił hasło główne pracownika, które zostało wprowadzone po uwierzytelnieniu się pracownika za pomocą MFA i uzyskaniu dostępu do firmowego skarbca LastPass inżyniera DevOps.

Aby zmniejszyć ryzyko przyszłych ataków, LastPass podjął kilka działań, w tym rotację krytycznych i wysoko uprzywilejowanych danych uwierzytelniających, włączenie uwierzytelniania wieloczynnikowego, unieważnienie i ponowne wydanie certyfikatów uzyskanych przez aktora zagrożeń, analizę zasobów pamięci masowej w chmurze i zastosowanie dodatkowych środków hartowania. Współpracowali również z Mandiantem, aby zbadać zasoby korporacyjne i osobiste oraz pomóc inżynierowi DevOps w utwardzeniu zabezpieczeń jego sieci domowej i zasobów prywatnych.

Podsumowując, incydent ten podkreśla znaczenie zachowania czujności i proaktywności w zabezpieczaniu wrażliwych danych i infrastruktury, nawet po tym, jak pierwszy atak został zażegnany. LastPass podjął szybkie działania w celu opanowania drugiego ataku i podejmuje dodatkowe środki w celu ochrony swoich klientów. Klientom zaleca się zapoznanie z zalecanymi krokami w celu ochrony siebie i swoich firm.