Marrakech, 24 mars. (Maroc-Actu) –
Okta, une société qui propose des services de vérification d’identité et de sécurité pour les entreprises tiercesa confirmé que le groupe de pirates informatiques LAPSUS$ a exploité une faille de sécurité pour accéder aux données de 366 entreprises clientes.
Lundi dernier, LAPSUS$ a publié des captures d’écran d’applications et Systèmes Okta via son compte Telegram, où il avait déjà partagé d’autres captures d’écran affirmant avoir volé des données à Microsoft, Nvidia et Samsung.
La société a publié une chronologie du vol et a indiqué que 20 janvier 2022 L’équipe de sécurité d’Okta a reçu une alerte indiquant qu’un nouveau facteur du système d’authentification (MFA) avait été introduit dans le compte de l’un des employés de Sitel, l’un des clients de son portefeuille.
Cette tentative n’ayant pas abouti, Okta a, par précaution, réinitialisé le compte via Okta Service Desk et en a informé son client, qui a fait appel à des services d’enquête pour analyser ce qui s’est passé.
Ce cabinet chargé d’enquêter sur ce qui s’est passé a mené une étude sur l’incident à partir de cette date jusqu’au 28 février 2022. Enfin, elle a remis à Sitel un rapport daté du 10 mars 2022.
Ce n’est que le 17 mars de cette année qu’Okta a reçu le résumé de ce rapport. sur l’incident Sitel. Cependant, cinq jours plus tard, le 22 mars, LAPSUS$ a partagé une série de captures d’écran revendiquant la responsabilité de l’attaque.
Selon Okta, les rapports reçus par Sitel n’incluaient pas ces captures d’écran, qui, comme il l’a affirmé, ont été prises sur l’ordinateur d’un ingénieur de support de son client.
Il convient de noter que ces professionnels, qui effectuent la majeure partie de leur travail via une application interne appelée SuperUser (SU), ont un accès spécifique à différents outils et instances Okta, tels que Jira, Slack, Splunk, RingCentral ou Salesforce.
À partir de celles-ci, il n’est toutefois pas possible d’effectuer des tâches de super-administration telles que la création ou la suppression d’utilisateurs ou le téléchargement de bases de données clients.
Plus précisément, le groupe d’attaquants aurait eu accès au serveur sur cet ordinateur via le protocole RDP (Remote Desktop Protocol), qui aurait permis l’accès aux ressources de l’appareil en exploitant une faille de sécurité dans le système.
« Bien que les attaquants n’ont jamais eu accès au service d’Okta en prenant le contrôle du comptemais un appareil qui était connecté au serveur a été attaqué et, à partir de celui-ci, ils ont pu obtenir des captures d’écran », a expliqué la plateforme de solutions d’identité.
Selon le rapport commandé par Sitel, le groupe de cybercriminels aurait accédé à cet ordinateur pendant cinq jours, du 16 au 21 janvier 2022.
De son côté, Okta a examiné tous les accès à l’application SuperUser qui ont eu lieu pendant ces jours-là par les employés de Sitel.
En conséquence, elle a constaté que l’impact potentiel maximal de la violation des clients d’entreprises était de 366 (environ 2,5 % de sa clientèle totale), auquel LAPSUS$ a accédé via Sitel.
De plus, selon Forbes, les attaquants ont utilisé le fournisseur d’assistance Sykes Enterprises, une branche du groupe Sitel contractée par Okta pour les services clients au Costa Rica, pour accéder à ces clients.
UN JEUNE HOMME BRITANNIQUE, QUI POURRAIT ÊTRE LE CERVEAU DES ATTAQUES
Les enquêteurs qui suivent les attaques de LAPSUS$ ont trouvé des preuves indiquant qu’un garçon de 16 ans pourrait être le cerveau de certaines des actions du groupe.
Comme le rapporte Bloomberg, les enquêteurs ont identifié sept comptes associés au groupe de pirates informatiques, dont l’un est attribué à un garçon de 16 ans. à une autre adolescente au Brésil.
Le jeune homme britannique, qui vit à Oxford, en Angleterre, serait le cerveau de ces attaques, selon d’autres cybercriminels qui auraient publié des détails personnels de cet individu.
Selon Bloomberg, cet utilisateur se serait identifié par des pseudonymes tels que . blanc » ou « base de brise ». et aurait des capacités supérieures pour mener à bien ces attaques, car les chercheurs en sont venus à penser qu’il s’agissait d’attaques automatisées.
