Пробивът в LastPass показва нагледно защо работата от вкъщи може да е рискова

Престъпниците, стоящи зад пробива на услугата за съхранение на пароли LastPass са атакували домашен компютър на нейн разработчик с цел получаване на криптоключове, пише ComputerWeekly. Това се е случило през август 2022 г., след което, през декември, те са използвани тази информация за извличане на данни от нейни облачни ресурси.

Припомняме, че при пробива изтекоха клиентски данни, включително информация за акаунти като фирмени и потребителски имена, адреси за фактуриране, имейли, телефонни номера и IP адреси.

Киберпрестъпниците също са имали достъп до резервни копия на данни, включително криптирани. Те обаче за защитени с 256-битово AES криптиране и могат да бъдат дешифрирани само с помощта на ключ, извлечен от главната парола на потребителя, която не се получава в текстов вид от системите на LastPass. Последното е трудно да се постигне, стига потребителят да следва препоръчителната най-добра практики по отношение на паролите.

Първоначално от услугата разкриха само, че тази атака е била насочена само към крайната точка на разработчика, но разследване е разкрило повече подробности. "Поради контролите за сигурност, защитаващи и осигуряващи инсталациите на локалния продукционен център за данни на LastPass, заплахата се насочи към един от четиримата DevOps инженери, имащи достъп до ключовете за декриптиране, необходими за достъп до услугата за облачно съхранение", разкриват от компанията.

"Това беше постигнато чрез насочване към домашния компютър на инженера на DevOps и използване на уязвим медиен софтуерен пакет на трета страна, който е активирал възможност за дистанционно изпълнение на код [RCE] и е позволил на престъпника да имплантира зловреден софтуер за кийлогинг (т.е. за запис на въвежданото чрез клавиатурата). След това той е успял да получи главната парола на служителя, когато е въвеждана, след като служителят се е удостоверил с многофакторна авторизация, и е получил достъп до корпоративния трезор LastPass на DevOps инженера."

"След това престъпникът е експортирал собствените записи в корпоративния трезор и съдържанието на споделени папки, съдържащи криптирани защитени бележки с ключове за достъп и дешифриране, необходими за достъп до производствените архиви в AWS S3 на LastPass, други ресурси за облачно съхранение и някои свързани критични резервни копия на базите данни", обясняват от компанията.

Добавя се, че въпросният инженер е бил подпомогнат за укрепване на домашната си мрежа и оборудване.

От LastPass подчертават, че поради различните тактики, техники и процедури, използвани в серията от атаки, не е било веднага очевидно, че първоначално изглеждащите като два отделни инцидента всъщност са свързани.

Посочва се още, че използваните защити не са докладвали веднага за аномално поведение. То е било отчетено от услугата GuardDuty Alerts на AWS, когато нападателят е опитал да използва облачна идентичност и роли за управление на достъпа, за да извърши неоторизирана дейност.

След атаката LastPass е предприела редица стъпки, за да усили собствената си киберсигурност, включително ротация на критични идентификационни данни с висока привилегия, отмяна и повторно издаване на компрометирани сертификати и прилагане на допълнителни мерки за сигурност на своите AWS S3 ресурси.

Имайки предвид очевидните недостатъци в способността си за бързо реагиране на сигнали, там също така са преразгледали системите за откриване на заплахи и реакции и са внедрили нови автоматизирани и управлявани услуги, включително персонализирани анализи за откриване на потенциална злоупотреба с ресурси на AWS.