Uber a révélé lundi plus de détails liés à un incident de sécurité survenu la semaine dernière, attribuant l’attaque à un acteur menaçant soupçonné d’être affilié au célèbre groupe de piratage LAPSUS$.

« Ce groupe utilise généralement des techniques similaires pour cibler les entreprises technologiques et, rien qu’en 2022, a violé Microsoft, Cisco, Samsung, NVIDIA et Okta, entre autres », a déclaré la société basée à San Francisco. a dit en mise à jour.

Un gang d’extorqueurs motivés financièrement a pris un coup majeur en mars 2022 lorsque la police de la ville de Londres est intervenue pour arrêter sept personnes âgées de 16 à 21 ans pour leurs liens présumés avec le groupe. Deux d’entre eux sont des mineurs accusés d’escroquerie.

Le pirate informatique à l’origine de la violation d’Uber, un jeune de 18 ans qui porte le surnom de Tea Pot, a également revendiqué la responsabilité d’avoir pénétré par effraction dans le fabricant de jeux vidéo Rockstar Games au cours du week-end.

Uber a déclaré qu’il travaillait avec « plusieurs sociétés de criminalistique numérique de premier plan » alors que l’enquête de la société sur l’incident se poursuivait, en plus de se coordonner avec le Federal Bureau of Investigation (FBI) américain et le ministère de la Justice sur la question.

En ce qui concerne la manière dont l’attaque s’est déroulée, la société de covoiturage a déclaré que les « entrepreneurs EXT » avaient leurs appareils personnels compromis par des logiciels malveillants et que les informations d’identification de leur compte d’entreprise avaient été volées et vendues sur le dark web, corroborant un rapport antérieur de Group-IB.

La société basée à Singapour, la semaine précédente, a noté qu’au moins deux employés d’Uber au Brésil et en Indonésie avaient été infectés par les voleurs d’informations Raccoon et Vidar.

« L’agresseur a ensuite tenté à plusieurs reprises de se connecter au compte Uber de l’entrepreneur », a indiqué la société. « Chaque fois, l’entrepreneur a reçu une demande d’approbation de connexion à deux facteurs, bloquant initialement l’accès. Cependant, finalement, l’entrepreneur en a reçu une et l’attaquant a réussi à entrer. »

Après avoir pris pied, le criminel aurait accédé au compte d’un autre employé, équipant ainsi la partie malveillante d’autorisations élevées sur « certains systèmes internes » tels que Google Workspace et Slack.

La société a en outre déclaré qu’elle avait pris un certain nombre de mesures dans le cadre de ses actions de réponse aux incidents, notamment la désactivation de l’appareil concerné, le verrouillage du service, le verrouillage de la base de code et également le blocage du compte de l’employé compromis d’accéder aux systèmes d’Uber ou d’émettre alternativement une réinitialisation du mot de passe pour ces comptes.

Uber n’a pas révélé le nombre de comptes d’employés potentiellement compromis, mais Uber a réitéré qu’il n’y avait eu aucune modification de code non autorisée et aucune preuve que des pirates avaient accès aux systèmes de production qui prennent en charge ses applications destinées aux clients.

Cela dit, le prétendu adolescent pirate informatique a téléchargé une quantité indéterminée de messages internes et d’informations de Slack à partir d’un outil interne utilisé par son équipe financière pour gérer certaines factures.

Uber a également confirmé que l’attaquant avait accédé au rapport de bogue HackerOne, mais a noté que « chaque rapport de bogue auquel l’attaquant avait accès a été corrigé ».

« Il n’y a qu’une seule solution pour le rendre basé sur le push [multi-factor authentication] plus résilient et c’est pour former vos employés, qui utilisent le MFA basé sur le push, sur les types d’attaques courants contre eux, comment détecter de telles attaques, et comment les atténuer et les signaler si elles se produisent », Roger Grimes, évangéliste de la défense basée sur les données à KnowBe4, a déclaré dans un communiqué. .

Chris Clements, vice-président de l’architecture des solutions chez Cerberus Sentinel, a déclaré qu’il était essentiel pour les organisations de reconnaître que la MFA n’est pas une « solution miracle » et que tous les facteurs ne sont pas créés égaux.

Bien qu’il y ait eu un passage de l’authentification par SMS à une approche basée sur les applications pour réduire les risques associés aux attaques par échange de carte SIM, les hacks d’Uber et de Cisco soulignent que les contrôles de sécurité autrefois parfaits sont contournés par d’autres moyens.

Le fait que les acteurs de la menace s’appuient sur des voies d’attaque telles que les kits d’outils proxy Adversary-in-the-middle (AiTM) et l’épuisement MFA (ou bombardement rapide) pour inciter les utilisateurs sans méfiance à transmettre par inadvertance un code d’accès à usage unique (OTP) ou à autoriser les demandes l’accès signale la nécessité d’adopter des méthodes résistantes au phishing.

« Pour éviter des attaques similaires, les organisations devraient passer à des versions plus sécurisées de l’approbation MFA, telles que la correspondance des numéros, qui minimise le risque que les utilisateurs acceptent aveuglément les demandes de vérification d’authentification », a déclaré Clements.

« La réalité est que si un attaquant n’a besoin de compromettre qu’un seul utilisateur pour causer des dommages importants, tôt ou tard, vous subirez des dommages importants », a ajouté Clements, soulignant qu’un mécanisme d’authentification fort « devrait être l’un des nombreux contrôles défensifs profonds pour empêcher compromis. » . »