【Hacker news daily】优步将最近的安全漏洞归咎于 LAPSUS$ 黑客组织

优步周一披露了与上周发生的安全事件有关的更多细节，将攻击归咎于一个它认为与臭名昭著的 LAPSUS$ 黑客组织有关联的威胁行为者。

这家总部位于旧金山的公司在更新中表示：“该组织通常使用类似的技术来瞄准科技公司，仅在2022年就已经攻破了微软、思科、三星、英伟达和 Okta 等公司。”

2022 年 3 月，当伦敦市警方逮捕7 名年龄在 16 至 21 岁之间的涉嫌 LAPSUS$ 团伙成员时，出于经济动机的敲诈团伙受到了巨大打击。几周后，其中两人因行为受到指控。

Uber 入侵背后的黑客是一名18岁的少年，绰号 Tea Pot，他也声称对周末闯入视频游戏制造商Rockstar Games负责。

优步表示，除了与美国联邦调查局 (FBI) 和司法部就此事进行协调外，优步还与“几家领先的数字取证公司”合作，因为该公司对该事件的调查仍在继续。

至于攻击是如何展开的，这家拼车公司表示，一名“EXT 承包商”的个人设备被恶意软件入侵，他们的公司账户凭证被盗并在暗网上出售，这证实了 Group-IB 早些时候的一份报告。

这家总部位于新加坡的公司上周指出，至少有两名 Uber 位于巴西和印度尼西亚的员工感染了Raccoon 和 Vidar 信息窃取程序。

该公司表示：“攻击者随后反复尝试登录承包商的优步账户。”“每次，承包商都会收到一个双因素登录批准请求，最初会阻止访问。但最终，承包商接受了一个，攻击者成功登录。”

在获得立足点后，据说该不法分子已经访问了其他员工账户，从而使恶意方获得了对“多个内部系统”（例如 Google Workspace 和 Slack）的更高权限。

该公司进一步表示，作为其事件响应措施的一部分，它采取了许多措施，包括禁用受影响的工具、轮换服务密钥、锁定代码库，以及阻止受感染的员工账户访问优步系统，或者为那些账户。

优步没有透露有多少员工账户可能遭到入侵，但它重申没有进行未经授权的代码更改，也没有证据表明黑客可以访问支持其面向客户的应用程序的生产系统。

也就是说，据称这名青少年黑客从其财务团队用来管理某些发票的内部工具下载了一些未指定数量的内部 Slack 消息和信息。

Uber 还确认攻击者访问了 HackerOne 错误报告，但指出“攻击者能够访问的任何错误报告都已得到修复。”

“只有一种解决方案可以让基于推送的 [多因素身份验证] 更具弹性，那就是对使用基于推送的 MFA 的员工进行培训，了解针对它的常见攻击类型、如何检测这些攻击以及如果它们发生，如何减轻和报告它们，”KnowBe4 的数据驱动防御传播者 Roger Grimes 在一份声明中说。

Cerberus Sentinel 解决方案架构副总裁 Chris Clements 表示，组织必须认识到 MFA 不是“灵丹妙药”，而且并非所有因素都是生来平等的。

虽然已经从基于 SMS 的身份验证转变为基于应用程序的方法来降低与SIM 交换攻击相关的风险，但针对Uber和Cisco的攻击凸显了曾经被认为是可靠的安全控制正在被其他方式绕过。

威胁行为者依靠攻击路径（例如中间对手 AiTM ) 代理工具包和 MFA 疲劳（又称即时轰炸来欺骗毫无戒心的员工无意中交出 MFA 代码或授权访问请求）这一事实表明需要采用防钓鱼的方法。

“为了防止类似的攻击，组织应该转向更安全的 MFA 批准版本，例如数字匹配，以最大限度地减少用户盲目批准身份验证提示的风险，”Clements 说。

“现实情况是，如果攻击者只需要破坏单个用户即可造成重大损害，那么迟早你会受到重大损害，”Clements 补充说，并强调强大的身份验证机制“应该是许多深入的防御控制之一以防止妥协。”