LastPass ha compartido más detalles sobre la violación de datos de diciembre que sacudió a la industria, y el ataque parece sacado directamente de una película de espías.
En un aviso de seguridad (se abre en una pestaña nueva), el administrador de contraseñas dijo dos incidentes, aparentemente no relacionados, que en realidad eran parte de una campaña más grande. También dijo que los actores de amenazas se dirigieron específicamente a uno de los cuatro ingenieros de DevOps, lo que destaca aún más la sofisticación de toda la campaña.
La investigación de LastPass concluyó que hubo dos incidentes: uno que se detectó en agosto de 2022 y otro que se detectó en diciembre.
Acceder a depósitos S3
Los actores de la amenaza utilizaron la información obtenida en el primer ataque, así como la información de un incidente de seguridad cibernética completamente separado, para identificar los cubos de almacenamiento en la nube cifrados de Amazon S3 de la empresa.
Pero para acceder a los cubos, necesitaban claves de descifrado, que solo poseían cuatro ingenieros de LastPass DevOps. Entonces, se dirigieron a uno de ellos, persiguiendo una vulnerabilidad de ejecución remota de código encontrada en un paquete de software de medios de terceros instalado en su computadora privada. Esto les permitió instalar un keylogger que ayudó a eludir las protecciones de seguridad, y algo más.
«El actor de amenazas pudo capturar la contraseña maestra del empleado tal como se ingresó, después de que el empleado se autenticó con MFA, y obtuvo acceso a la bóveda corporativa de LastPass del ingeniero de DevOps», explicó la compañía.
«El actor de amenazas luego exportó las entradas nativas de la bóveda corporativa y el contenido de las carpetas compartidas, que contenían notas seguras cifradas con claves de acceso y descifrado necesarias para acceder a las copias de seguridad de producción de AWS S3 LastPass, otros recursos de almacenamiento basados en la nube y algunas copias de seguridad de bases de datos críticas relacionadas. .»
Como los atacantes usaban información de inicio de sesión válida, el equipo de ciberseguridad de la empresa no identificó la actividad como maliciosa. En consecuencia, el actor de amenazas estuvo al acecho en los servidores de almacenamiento de la empresa durante dos meses.
Ahora, después de la fiesta, LastPass dijo que actualizó su postura de seguridad y comenzó a rotar credenciales confidenciales y claves y tokens de autenticación. Además, revoca certificados regularmente, requiere registro y alertas adicionales y comenzó a aplicar políticas de seguridad más estrictas.
Vía: BleepingComputer (se abre en una pestaña nueva)