LAPSUS$小组通过其常用的通信手段Telegram频道发布了超级用户访问Okta管理控制台的截屏。因此,该组织声称已经获得了Okta.com的“超级用户/管理员”权限,并获得了Okta的客户数据,并在Telegram上表示:

在人们开始问:我们没有访问/窃取任何数据库从OKTA -我们的焦点只在OKTA客户。

昨天上午,Okta的一位发言人表示,公司正在调查此事承认试图违约2022年1月下旬,客户被暴露在空气中5天。LAPSU$截图中可见的日期是2022年1月21日。Okta提供了更详细的更新当天晚些时候,我们已经总结如下。

重要的是,Okta和LAPSU$都没有声称Okta的软件已经被破坏。双方都表示,犯罪黑客组织获得了访问用户账户的权限,并获得了一些客户数据。

在LAPSU$ Telegram频道上分享的Okta漏洞的截图

Okta

Okta是一家位于旧金山的访问管理公司。根据Okta自己的网站,它为超过15000个组织提供服务。从本质上说,Okta软件允许员工使用单点登录在一个中心平台上登录,员工只需登录一次,就可以访问组织的IT人员分配给他们的资源。这种身份优先的安全方法被一些人视为安全的重要基础零信任安全模型。

过失美元

LAPSUS$是网络犯罪领域的相对新人,首次出现在2021年夏天。它因泄露一些大目标的敏感信息而名声大噪。根据他们最早的目标和西班牙语和葡萄牙语的使用,这个群体被认为来自南美洲。

在最近的事件中,LAPSUS$声称自己被黑了:

  • 三星(源代码已泄露)
  • 英伟达(至少有限的访问已经被证明)
  • 自由市场(已确认)
  • 微软(接受调查)
  • Okta(调查中)

Okta的声明

在一个Okta网站上的文章英国公民事务官大卫·布拉德伯里提供了1月份发生的事件的时间线。根据布拉德伯里的说法,法医检查发现,在1月16日到1月21日之间有一个为期5天的窗口期,一个威胁行为者“可以进入Sitel环境”。Sitel是Okta所说的“子处理器”——为Okta的客户支持组织提供合同工的公司。

根据这篇文章,入侵者“通过RDP获得了远程访问”sitel的一台登录Okta的机器。该公司表示,用户的访问权限受到了限制,支持工程师可以访问的工具包括Jira、Slack、Splunk、RingCentral、Salesforce和一个名为SuperUser的内部构建应用程序。

该组织没有解释它是如何访问RDP会话的。针对RDP的暴力攻击很常见但LAPSU$也以贿赂内部人士获取信息而闻名。例如,该公司在3月10日表示,正寻求招聘准备提供远程访问(如VPN或Citrix访问)的科技公司“员工/内部人员”。

LAPSU$试图招募内部人员

为了了解入侵的范围,Bradbury说Okta检查了所有Sitel员工在五天内对SuperUser应用程序的所有访问。他的结论是,此次入侵的最大潜在影响是366个(约2.5%)客户的Okta租户被Sitel访问。受影响的客户被承诺“……一份报告,显示Sitel在那段时间内对他们的Okta租户执行的操作”,这样他们就可以进行自己的分析。

LAPSU$在Telegram上回应了Okta的说法,这很快就变成了一场奇怪的反反复复。尽管该组织并不质疑技术支持工程师仅限于Bradbury列出的应用程序,但它确实对这种访问是否像Bradbury所建议的那样无害提出了质疑,并评论说,“……在Slack通道中存储AWS密钥是一种相当糟糕的安全做法”,“对Okta客户的潜在影响是无限的,我相当确定重置密码和MFA将导致许多客户系统完全泄露”。

给Okta客户的建议

在我们还在等待细节的时候,很难说Okta的客户能做些什么来控制损失。但这里有一些建议:

  • 多盯着你的访问日志。
  • 威胁搜索和其他日志也一样。
  • 更改特权Okta密码。
  • 等待更多信息。
  • 通知你的客户你正在处理这个案子。