Lunedì Uber ha reso noti ulteriori dettagli relativi all’incidente di sicurezza avvenuto la scorsa settimana, attribuendo l’attacco a un attore di minacce che ritiene affiliato al noto gruppo di hacker LAPSUS$. La banda di estorsori a scopo finanziario ha subito un duro colpo nel marzo 2022, quando la polizia della City di Londra ha arrestato sette persone di età compresa tra i 16 e i 21 anni per i loro presunti legami con il gruppo. Due di questi imputati minorenni sono accusati di frode. L’hacker dietro la violazione di Uber, un adolescente di 18 anni che si fa chiamare Tea Pot, ha anche rivendicato la responsabilità di aver violato il produttore di videogiochi Rockstar Games durante il fine settimana. Uber ha dichiarato che sta collaborando con “diverse aziende leader nel campo della digital forensics” mentre prosegue l’indagine dell’azienda sull’incidente, oltre a coordinarsi con il Federal Bureau of Investigation (FBI) degli Stati Uniti e il Dipartimento di Giustizia sulla questione. Per quanto riguarda le modalità dell’attacco, l’azienda di ridesharing ha dichiarato che un “appaltatore EXT” ha visto compromesso il proprio dispositivo personale con un malware e le credenziali del proprio account aziendale sono state rubate e vendute sul dark web, confermando un precedente rapporto di Group-IB.
Attacco a Uber, l’analisi a caldo di Sophos
Attacco informatico a Uber: è stato un Teenager?
La società con sede a Singapore, la settimana precedente, aveva rilevato che almeno due dipendenti di Uber con sede in Brasile e Indonesia erano stati infettati dai programmi di furto di informazioni Raccoon e Vidar. “L’aggressore ha poi tentato ripetutamente di accedere all’account Uber dell’appaltatore”, ha dichiarato la società. “Ogni volta, l’appaltatore ha ricevuto una richiesta di approvazione del login a due fattori, che inizialmente ha bloccato l’accesso. Alla fine, però, l’appaltatore ha accettato e l’aggressore è riuscito ad accedere”.
Una volta conquistato un punto d’appoggio, il malintenzionato avrebbe avuto accesso ad altri account di dipendenti, ottenendo così autorizzazioni elevate per “diversi sistemi interni” come Google Workspace e Slack. L’azienda ha inoltre dichiarato di aver adottato una serie di misure nell’ambito delle misure di risposta all’incidente, tra cui la disattivazione degli strumenti impattati, la rotazione delle chiavi dei servizi, il blocco della base di codice e il blocco degli account dei dipendenti compromessi dall’accesso ai sistemi di Uber o, in alternativa, la reimpostazione della password per tali account. Uber non ha rivelato quanti account dei dipendenti sono stati potenzialmente compromessi, ma ha ribadito che non sono state apportate modifiche non autorizzate al codice e che non ci sono prove che l’hacker abbia avuto accesso ai sistemi di produzione che supportano le sue applicazioni rivolte ai clienti. Detto questo, il presunto hacker adolescente avrebbe scaricato un numero imprecisato di messaggi Slack interni e informazioni da uno strumento interno utilizzato dal team finanziario per gestire alcune fatture. Uber ha anche confermato che l’aggressore ha avuto accesso alle segnalazioni di bug di HackerOne, ma ha osservato che “tutte le segnalazioni di bug a cui l’aggressore ha potuto accedere sono state corrette”.
“Esiste un’unica soluzione per rendere più resiliente l’autenticazione a più fattori basata su push: formare i dipendenti che utilizzano l’MFA basata su push sui tipi di attacchi più comuni, su come rilevarli e su come mitigarli e segnalarli se si verificano”, ha dichiarato in un comunicato Roger Grimes, data-driven defense evangelist di KnowBe4.
Chris Clements, vicepresidente dell’architettura delle soluzioni di Cerberus Sentinel, ha affermato che è fondamentale che le organizzazioni si rendano conto che l’MFA non è una “pallottola d’argento” e che non tutti i fattori sono creati allo stesso modo.
Sebbene si sia passati da un’autenticazione basata su SMS a un approccio basato su app per mitigare i rischi associati agli attacchi di SIM swapping, l’hacking di Uber e Cisco evidenzia che i controlli di sicurezza, un tempo considerati infallibili, vengono aggirati con altri mezzi. Il fatto che gli attori delle minacce puntino su percorsi di attacco come i toolkit proxy adversary-in-the-middle (AiTM) e l’affaticamento MFA (alias prompt bombing) per ingannare un utente ignaro e indurlo a consegnare inavvertitamente il codice OTP (One-Time Passcode) o ad autorizzare una richiesta di accesso segnala la necessità di adottare metodi resistenti al phishing. “Per prevenire attacchi simili, le organizzazioni dovrebbero passare a versioni più sicure dell’approvazione MFA, come la corrispondenza numerica, che riducono al minimo il rischio che un utente approvi alla cieca una richiesta di verifica dell’autenticazione”, ha dichiarato Clements. “La realtà è che se un aggressore deve compromettere un solo utente per causare un danno significativo, prima o poi il danno sarà significativo”, ha aggiunto Clements, sottolineando che i meccanismi di autenticazione forte “dovrebbero essere uno dei tanti controlli difensivi approfonditi per prevenire le compromissioni”.
