Uber: aanvaller kwam binnen via wachtwoord contractor en “MFA fatique”

De aanvaller die wist in te breken op systemen van taxi-app Uber maakte gebruik van het wachtwoord van een contractor en een tactiek die “MFA fatique” wordt genoemd. Dat heeft het bedrijf vanavond bekendgemaakt. Vorige week werd bekend dat Uber slachtoffer van een aanval was geworden, waarbij allerlei systemen werden gecompromitteerd. Het zou onder andere gaan om de Amazon Web Services-console, VMware ESXi virtual machines, Google Workspace beheerdersdashboard, respositories met broncode, Slack-server en HackerOne-account.

Uber maakt gebruik van allerlei externe partijen en personen. Het persoonlijke systeem van één van deze personen was besmet geraakt met malware, waardoor de inloggegevens om toegang te krijgen tot interne Uber-systemen konden worden gestolen. Uber maakt echter gebruik van multifactorauthenticatie (MFA) waarbij personen die op het netwerk willen inloggen een verzoek op hun telefoon moeten bevestigen. Een aanvaller heeft hierdoor niet voldoende aan alleen inloggegevens om toegang te krijgen.

Aanvallers maken echter gebruik van een tactiek die “MFA fatique” wordt genoemd. Elke keer dat de aanvaller inlogt met de gestolen inloggegevens krijgt de eigenaar van deze inloggegevens een melding op zijn telefoon of hij de inlogpoging wil goedkeuren. De aanvaller blijft net zolang inloggen totdat de medewerker in kwestie één van de inlogpogingen goedkeurt, waarna de aanvaller toegang krijgt. Een tactiek die ook succesvol bij een inbraak op het netwerk van Cisco werd toegepast.

Vervolgens wist de aanvaller toegang tot de accounts van verschillende andere medewerkers te krijgen, hoewel Uber niet uitlegt hoe dit precies in zijn werk ging. Uiteindelijk wist de aanvaller zo zijn rechten te verhogen en toegang tot verschillende tools te krijgen, waaronder G-Suite en Slack. De aanvaller plaatste ook een bericht op het Slack-kanaal van Uber en wijzigde de OpenDNS-instellingen, waardoor medewerkers bij sommige interne websites obscene afbeeldingen te zien kregen.

Naar aanleiding van de aanval besloot Uber van de gecompromitteerde accounts het wachtwoord te resetten, de broncode te vergrendelen om aanpassingen te voorkomen en werden getroffen interne tools uitgeschakeld. Bij het weer online brengen van de tools moesten werknemers zich opnieuw authenticeren. Daarnaast gaat Uber het MFA-beleid aanpassen en is er aanvullende monitoring toegevoegd.

Volgens het bedrijf is de aanval uitgevoerd door een aanvaller die aan de Lapsus$-groep is gelieerd. Deze groep voerde eerder succesvol aanvallen uit tegen Microsoft, Samsung, Nvidia en Okta. Om toegang tot de netwerken van slachtoffers te krijgen schaft de groep vermoedelijk gestolen inloggegevens en sessiecookies aan. Ook in dit geval vermoedt Uber dat de gestolen inloggegevens van de contractor op internet te koop werden aangeboden. Hoe het systeem van de contractor besmet raakte is niet bekendgemaakt.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl