Lapsus$ はおそらく Uber-Hack の背後にあります

26. 2022。 September XNUMX 9月XNUMX
| コメントはありません
Lapsus$ はおそらく Uber-Hack の背後にあります

投稿を共有する

数日前、Uber が大規模なハッキングの犠牲になったというニュースがありました。 攻撃者がバグ報奨金プログラムから脆弱性リストを取得した疑いさえあります。 旅行サービス プロバイダーの Uber は、攻撃者が Lapsus$ グループであることを確認しました。

最初に Uber のハッキングに関する報告、まだ不明な点が多い. 運転サービス プロバイダーの Uber によると、プロセスを記述し、どのデータが盗まれたかを正確に定義できるようになりました。 Uber によると、何が起こったかは次のとおりです。 攻撃者が契約者の Uber の会社のパスワードをダークウェブで購入した可能性があります。 その後、攻撃者は請負業者の Uber アカウントへのログインを繰り返し試みました。 そのたびに、請負業者は XNUMX 要素ログイン許可要求を受け取り、最初はアクセスをブロックしました。 しかし、最終的に請負業者はそれを受け入れ、攻撃者はログインに成功しました。」 これは古典的なMFA爆撃と呼ばれます.

ログインすると、攻撃者は他の複数の従業員アカウントにアクセスし、最終的に攻撃者は G-Suite や Slack などのさまざまなツールに対する権限を昇格させました。 その後、攻撃者は全社的な Slack チャネルにメッセージを送信し、Uber の OpenDNS を再構成して、一部の内部 Web サイトで従業員にグラフィック イメージを表示しました。

Uber はどのように反応しましたか?

Uber は次のように述べています。 私たちの最優先事項は、攻撃者が私たちのシステムにアクセスできないようにすることでした。 ユーザー データが安全であり、Uber サービスが危険にさらされていないことを確認するため。 その後、インシデントの範囲と影響を調査します。」

Uber が行ったと主張する主要なアクションは次のとおりです。

  • 侵害された、または侵害された可能性があり、Uber システムへのアクセスがブロックされたか、パスワードのリセットが必要な従業員のアカウントをすべて特定しました。
  • 影響を受ける、または影響を受ける可能性のある多くの内部ツールが無効になりました。
  • 多くの内部サービスのキーがローテーションされました (実質的にアクセスがリセットされます)。
  • 新しいコードの変更を防ぐために、コードベースはロックダウンされています。
  • 内部ツールへのアクセスを再確立するには、従業員が再認証する必要がありました。 さらに、多要素認証 (MFA) のガイドラインが強化されました。
  • 他の疑わしいアクティビティをさらに注意深く監視するために、内部環境の追加の監視が追加されました。

どのような影響がありましたか?

Uber は、すべてを制御下に置いていると述べています。 調査はまだ進行中ですが、現在の調査結果の詳細を共有する必要があります。 まず第一に、攻撃者がアプリを実行している本番システムにアクセスしたことはわかりませんでした。 すべてのユーザー アカウント。 または、クレジット カード番号、ユーザーの銀行口座情報、旅行履歴などのユーザーの機密情報を保存するために使用するデータベース。 また、クレジット カード情報と個人の健康情報を暗号化し、別の保護層を提供します。

コード ベースを確認したところ、攻撃者による変更は見つかりませんでした。 また、攻撃者が当社のクラウド プロバイダー (AWS S3 など) に保存されている顧客データまたはユーザー データにアクセスしたことも特定できませんでした。 攻撃者は Slack の内部メッセージをダウンロードし、財務チームが請求書の管理に使用している内部ツールから情報を取得またはダウンロードしたようです。 現在、これらのダウンロードを分析しています。」

脆弱性レポートは盗まれましたか?

Uber によると、この危険性は禁止されるべきであるとのことです。 ただし、攻撃者がアクセスできるすべてのバグ レポートは修正されています。 その間、一般向けの Uber、Uber Eats、Uber Freight サービスのすべてをスムーズに稼働させることができました。 一部の社内ツールをシャットダウンしたため、カスタマー サービス業務への影響は最小限にとどまり、現在は通常に戻っています。」

Uber は Lapsus$ 攻撃だと考えている

決定的な証拠はまだありませんが、Uber は攻撃が Lapsus$ 攻撃であると考えています。 「この攻撃者 (または攻撃者) は Lapsus$ と呼ばれるハッキング グループに関係していると考えられます。Lapsus$ は、ここ 2022 年ほどでますます活発になっています。 このグループは通常、同様の手法を使用してテクノロジー企業を攻撃しており、XNUMX 年だけでも Microsoft、Cisco、Samsung、Nvidia、Okta などを侵害しています。 週末には、同じ攻撃者がビデオ ゲーム メーカーの Rockstar Games を攻撃したという報告もありました。 我々はこの問題についてFBIと米国司法省と緊密に連携しており、彼らの努力を引き続きサポートしていきます。」

Uber は今何をしているのですか?

Uber はフォレンジック データの評価を継続したいと考えており、そのために多くの専門知識を使用しています。 さらに、Uber は攻撃から学び、防御を強化して将来の攻撃から保護するためのポリシー、慣行、技術に取り組みたいと考えています。

詳しくは Uber.com をご覧ください

 

トピックに関連する記事

5G環境を保護するサイバーセキュリティプラットフォーム

サイバーセキュリティの専門家であるトレンドマイクロが、組織の拡大し続ける攻撃対象領域を保護するためのプラットフォームベースのアプローチを発表しました。 ➡続きを読む

データ操作、過小評価されている危険性

毎年 31 月 XNUMX 日の世界バックアップの日は、最新の簡単にアクセスできるバックアップの重要性を思い出させるものです。 ➡続きを読む

セキュリティリスクとしてのプリンター

企業のプリンター群はますます盲点になりつつあり、その効率性とセキュリティーに関して大きな問題を引き起こしています。 ➡続きを読む

AI 法とそのデータ保護への影響

AI 法により、AI に関する最初の法律が承認され、AI アプリケーションのメーカーに 6 か月から 6 か月の猶予期間が与えられました。 ➡続きを読む

Windows オペレーティング システム: 約 200 万台のコンピュータが危険にさらされています

Windows 7 および 8 オペレーティング システムのアップデートはもうありません。これは、セキュリティ上のギャップが開いていることを意味するため、価値があり、 ➡続きを読む

エンタープライズ ストレージ上の AI がランサムウェアとリアルタイムで戦う

NetApp は、ランサムウェアと戦うために人工知能 (AI) と機械学習 (ML) をプライマリ ストレージに直接統合した最初の企業の 1 つです ➡続きを読む

ゼロトラスト データ セキュリティのための DSPM 製品スイート

データ セキュリティ体制管理 (略して DSPM) は、企業が多数のデータに対するサイバー回復力を確保するために不可欠です。 ➡続きを読む

データ暗号化: クラウド プラットフォームのセキュリティを強化

最近では Trello など、オンライン プラットフォームがサイバー攻撃の標的になることがよくあります。クラウドでより効果的なデータ暗号化を実現する 5 つのヒント ➡続きを読む

広報メッセージ
, , , , , ,