LastPass, koji je u decembru 2022. godine otkrio ozbiljno kršenje podataka koji je omogućio hakerima da pristupe šifrovanim trezorima lozinki, rekao je da se to dogodilo kao rezultat toga što je isti haker pokrenuo drugi napad na njegove sisteme.
Kompanija je saopštila da je jedan od njenih DevOps inženjera imao “provalu” u svoj lični kućni računar koji je zaražen keylogger-om u sklopu kontinuiranog kibernetičkog napada koji je eksfiltrirao osetljive podatke sa svojih Amazon AWS servera za skladištenje u Cloud-u.
“Haker je iskoristio informacije ukradene tokom prvog incidenta, informacije dostupne u slučaju povrede podataka treće strane i ranjivost u softverskom paketu medija treće strane da pokrene koordinisani drugi napad” saopštila je služba za upravljanje lozinkama.
Ovaj upad je bio usmjeren na infrastrukturu, resurse kompanije i jednog od njenih zaposlenih od 12. avgusta 2022. godine do 26. oktobra 2022. godine. Prvobitni incident je, s druge strane, završen 12. avgusta 2022. godine.
Avgustovski proboj je pokazao da su hakeri pristupili izvornom kodu i vlasničkim tehničkim informacijama iz svog razvojnog okruženja putem kompromitovanog naloga jednog zaposlenog.
U decembru 2022. godine, LastPass je otkrio da je haker iskoristio ukradene informacije kako bi pristupio okruženju za pohranu u Cloud-u i došao do “određenih elemenata informacija naših kupaca”.
Kasnije u istom mjesecu, otkriveno je da je nepoznati napadač dobio pristup sigurnosnoj kopiji podataka o trezoru korisnika za koje je rekao da su zaštićeni 256-bitnom AES enkripcijom. Nije objavljeno koliko je nedavno napravljena sigurnosna kopija.
GoTo, matična kompanija LastPass-a, takođe je prijavila kršenje prošlog mjeseca zbog neovlaštenog pristupa servisu za pohranu u Cloud-u.
Sada, prema kompaniji, haker se uključio u novu seriju “aktivnosti izviđanja, popisivanja i eksfiltracije” usmjerenih na njenu uslugu skladištenja u Cloud-u između avgusta i oktobra 2022. godine.
“Konkretno, haker je bio u mogućnosti da iskoristi važeće kredencijale ukradene od starijeg DevOps inženjera za pristup zajedničkom okruženju za pohranu u Cloud-u” rekao je LastPass, dodajući da je inženjer “imao pristup ključevima za dešifrovanje potrebnim za pristup servisu za pohranu u Cloud-u.”
Ovo je omogućilo hakeru da dobije pristup AWS S3 buckets u kojima su bile rezervne kopije LastPass korisnika i šifrovanih podataka trezora, dalje je navedeno.
Kaže se da su lozinke zaposlenih izvučene ciljanjem na kućni računar pojedinca i korištenjem “ranjivog softverskog paketa treće strane” da bi se postiglo daljinsko izvršavanje koda i instalirao softver za keylogger.
„Haker je uspio da uhvati glavnu lozinku zaposlenog kako je unesena, nakon što se zaposleni autentifikuje sa MFA, i dobije pristup LastPass korporativnom trezoru DevOps inženjera“ rekao je LastPass.
LastPass nije otkrio naziv korišćenog medijskog softvera treće strane, ali indicije su da bi to mogao biti Plex na osnovu činjenice da je pretrpio vlastitu povredu krajem avgusta 2022. godine.
Nakon incidenta, LastPass je rekao da je unaprijedio svoju sigurnosnu poziciju rotirajući kritične kredencijale i kredencijale visoke privilegije i ponovno izdavanje sertifikata koje je pribavio haker, te da je primijenio dodatne S3 mjere kako bi uspostavio mehanizme evidentiranja i uzbunjivanja.
Korisnicima LastPass-a se toplo preporučuje da promijene svoje glavne lozinke i sve lozinke pohranjene u njihovim trezorima kako bi se umanjili potencijalni rizici, ako to već nije učinjeno.
Izvor: The Hacker News
