Jakie są możliwe konsekwencje złamania zabezpieczeń firmy Okta?

Hakerzy z ugrupowania Lapsus$ twierdzą, że złamali zabezpieczenia Okta — głównego dostawcy systemów zarządzania dostępem.

Hakerzy należący do ugrupowania cyberprzestępczego LAPSUS$ opublikowali zrzuty ekranu, które rzekomo zrobione zostały z wnętrza systemów informatycznych Okta. Jeśli to prawda, przestępcy mają dostęp nie tylko do strony internetowej firmy, ale także do wielu innych systemów wewnętrznych, w tym tych o znaczeniu krytycznym.

LAPSUS$ twierdzi, że nie ukradł żadnych danych z samej firmy, a jego celem byli głównie klienci Okty. Sądząc po datach widocznych na zrzutach ekranu, atakujący mieli dostęp do systemów już w styczniu 2022 roku.

Czym jest Okta i dlaczego złamanie zabezpieczeń może być tak niebezpieczne?

Firma Okta tworzy i utrzymuje systemy zarządzania tożsamością i dostępem, w szczególności rozwiązanie do jednorazowego logowania. Z rozwiązań marki Okta korzysta ogromna liczba dużych firm.

Eksperci z firmy Kaspersky uważają, że dostęp do systemów Okta może wyjaśniać wiele dość głośnych wycieków danych z dużych firm, do których hakerzy z organizacji cyberprzestępczej LAPSUS$ już się przyznali.

W jaki sposób cyberprzestępcy uzyskują dostęp do systemów Okta?

W tej chwili nie ma jednoznacznych dowodów na to, że hakerzy naprawdę uzyskali dostęp. W oficjalnym oświadczeniu firmy Okta można przeczytać, że jej specjaliści prowadzą obecnie dochodzenie, a wszelkie szczegóły zostaną udostępnione po jego zakończeniu. Być może opublikowane zrzuty ekranu są związane z incydentem, który miał miejsce w styczniu, gdy nieznana osoba próbowała włamać się na konto inżyniera pomocy technicznej pracującego dla zewnętrznego podwykonawcy.

Aktualizacja, 23 marca 2022 r.: Organizacja LAPSUS$ opublikowała odpowiedź na oficjalne oświadczenie Okty, w którym oskarża tę firmę o próbę bagatelizowania znaczenia złamania zabezpieczeń.

Co wiadomo o ugrupowaniu LAPSUS$?

O ugrupowaniu LAPSUS$ zrobiło się głośno w 2020 r., kiedy włamało się ono do systemów brazylijskiego Ministerstwa Zdrowia. Najprawdopodobniej jest to latynoamerykańska grupa hakerów, którzy kradną informacje od dużych firm, a następnie żądają za nie okupu. Jeśli ofiary odmówią zapłaty, hakerzy publikują skradzione informacje w internecie. W przeciwieństwie do wielu innych ugrupowań ransomware, LAPSUS$ nie szyfruje danych, ale grozi wyciekiem danych w przypadku niepłacenia okupu.

Wśród znanych ofiar ugrupowania LAPSUS$ znajdują się takie firmy jak Nvidia, Samsung czy Ubisoft. Ponadto niedawno opublikowało ono 37 GB kodu, który może mieć związek z wewnętrznymi projektami Microsoftu.

Jak zadbać o swoje bezpieczeństwo?

W tej chwili nie można powiedzieć z absolutną pewnością, że incydent naprawdę miał miejsce. Samo opublikowanie zrzutów ekranu jest dość dziwnym posunięciem, które może mieć na celu autopromocję hakerów, być atakiem na reputację Okty lub próbą ukrycia prawdziwej metody, dzięki której grupa LAPSUS$ uzyskała dostęp do jednego z klientów Okty.

Nasi eksperci zalecają klientom Okta stosowanie następujących środków zabezpieczających:

  • Rygorystyczne monitorowanie aktywności sieciowej, w szczególności wszelkiej aktywności związanej z uwierzytelnianiem w systemach wewnętrznych.
  • Zapewnienie pracownikom dodatkowego szkolenia w zakresie cyberhigieny, przygotowanie ich do zachowania czujności i zobowiązanie do zgłaszania wszelkich podejrzanych działań.
  • Przeprowadzenie audytu bezpieczeństwa infrastruktury IT organizacji, który ujawni luki i podatne na ataki systemy.
  • Ograniczenie dostępu do narzędzi do zdalnego zarządzania z zewnętrznych adresów IP.
  • Upewnienie się, że dostęp do interfejsów zdalnego sterowania można uzyskać tylko z ograniczonej liczby punktów końcowych.
  • Udzielanie pracownikom wyłącznie ograniczonych uprawnień i zwracanie uwagi na to, aby były one adekwatne do zakresu wykonywanej pracy.
  • Korzystanie z rozwiązań do monitorowania, analizy i wykrywania ruchu sieciowego ICS, aby lepiej chronić się przed atakami, które potencjalnie zagrażają procesom technologicznym i głównym zasobom przedsiębiorstwa.

Firmy, które nie dysponują wewnętrznymi zasobami do monitorowania podejrzanych działań w swojej infrastrukturze IT, mogą skorzystać z pomocy zewnętrznych ekspertów.

Porady