Uber attribuisce l'intrusione al gruppo Lapsus$

Uber attribuisce l'intrusione al gruppo Lapsus$

L'intrusione nei sistemi interni di Uber, probabilmente effettuata dal gruppo Lapsus$, è avvenuta tramite l'account di un contractor esterno.
Uber attribuisce l'intrusione al gruppo Lapsus$
L'intrusione nei sistemi interni di Uber, probabilmente effettuata dal gruppo Lapsus$, è avvenuta tramite l'account di un contractor esterno.

Uber ha fornito ulteriori dettagli sull’intrusione del 15 settembre. L’accesso ai sistemi interni è avvenuto tramite l’account di un contractor esterno, utilizzando credenziali vendute nel dark web e la tecnica nota come “MFA fatigue“. L’azienda californiana ritiene che l’attacco sia stato effettuato da cybercriminali associati al gruppo Lapsus$, noto per aver colpito Microsoft, Samsung, NVIDIA, Okta, Vodafone e probabilmente anche Rockstar Games.

Uber nuova vittima del gruppo Lapsus$

Durante le indagini ancora in corso, Uber ha scoperto che l’intrusione è avvenuta mediante l’account di un contractor esterno. Probabilmente le credenziali di login sono state rubate con un malware e vendute nel dark web. I cybercriminali hanno tentato più volte l’accesso all’account. Il contractor ha ricevuto numerose richieste di autenticazione in due fattori (è stato contattato anche su WhatsApp), finché non ha accettato una di esse. Questa tecnica è nota come MFA fatigue.

Successivamente, gli autori dell’intrusione hanno avuto accesso agli account di altri dipendenti e ottenuto i permessi di amministratore per controllare vari tool interni, tra cui Google Workspace e Slack. Uber ha identificato gli account compromessi e bloccato i loro accessi ai sistemi o richiesto il reset della password. L’azienda ha inoltre disattivato temporaneamente i tool interni e bloccato l’accesso al codice sorgente.

L’intrusione non ha avuto conseguente sui servizi Uber, Uber Eats e Uber Freight. I cybercriminali non hanno compromesso il database usato per conservare i dati più sensibili, come numeri delle carte di credito, informazioni degli account bancari e cronologia dei viaggi. Confermato invece il download di alcuni messaggi di Slack e informazioni finanziarie (fatture).

I cybercriminali sono riusciti ad accedere anche alla dashboard di HackerOne e quindi alle segnalazioni di bug e vulnerabilità. Uber sottolinea tuttavia che i problemi di sicurezza sono stati risolti. Le indagini sono ancora in corso con l’aiuto di aziende specializzate in analisi forense, FBI e Dipartimento di Giustizia.

Fonte: Uber
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
20 set 2022
Link copiato negli appunti