Actualités

Okta, Globant et clients associés… Lapsus$ rafle la mise insécuritaire !

Les cyber-attaquants continuent de persister et signer : d’une part, en démontrant, par information complémentaires post-cyberattaque Okta, l’étendue de la brèche via l’entreprise-tierce Sitel et, d’autres part, via une nouvelle divulgation de données, concernant cette fois le groupe Globant, qui s’est vu ex-filtrer pas moins de 70 Go de données… y compris pour ses partenaires ; tout secteur confondu.

 

 

Depuis Janvier 2022, la débandade insécuritaire perdure pour Okta : la brèche, effective au 22 Mars 2022 (et faisant suite à une brèche ultérieure, le 8-9 Mars 2022 avec, Janvier 2022, une intrusion-système via le support Sitel…) est passée mais de nouvelles informations, au détour d’un rapport de l’équipe Mendiant (via Sitel) fournit un peu plus de renseignements, selon les informations relayées par Bill Demirkapi, depuis le 28 Mars 2022. Celui-ci complète, pour rappel, la première timeline communiqué par Okta-même et courant entre le 20 Janvier et le 22 Mars 2022 avec, le 17 Mars 2022, la réception de ce fameux rapport signé Mendiant ; 22 Mars 2022 pour la réception “complète” dudit rapport. Condensé de ce dernier :

 

(Source : Bill Demirkapi – Twitter)

 

  • 16 – 19 Janvier 2022 : compromis initial + élévation de privilèges. Accès distant (RDP). Exploitation de la faille CVE-2021-34484 sous Windows (11, Server 2022) ;
  • 20 Janvier 2022 : persistance + mouvement latéral, via la recherche Bing ;
  • 20 Janvier 2022 : persistance avancée (intrusion viralité, étendue), via l’exécution de Process (Explorer + Hacker tout en procédant à la fin du point de terminaison FireEeye EndPoint (!) ;
  • 20 Janvier 2022 : finalisation de l’élévation de privilèges, notamment par l’exploitation de Mimikatz tout en créant des dossiers depuis sys32 (dont sam.hiv) ;
  • 21 Janvier 2022 : maintien de la persistance. Création de portes dérobées (via des comptes-utilisateurs) depuis les terminaux Sitel. Exploitation d’un document (Excel – xlsx) pour faire transiter la viralité (diffusion) : DomAdmins (LastPass, ce qui suggère vivement un listing des mots de passes ex-filtrés depuis le logiciel, concernant un terminal – infecté – Sitel…) ;
  • 21 Janvier 2022 : diffusion par mailing (règle dédiée BCC) pour étendre la viralité au maximum dans le parc informatique Sitel. Obtention (théorique) des identifiants-salariés Sitel pour faciliter la cyber-attaque (?).

 

 

Vous saviez que la machine de l’un des membres de votre service client avait été compromise en janvier. Pourquoi n’avez-vous pas enquêté ? Avoir la capacité de détecter une attaque est inutile si vous n’êtes pas prêt à répondre“, interroge, entre-autres, Bill Demirkapi. “Pourquoi vos clients n’ont-ils pas été immédiatement informés dès le premier signe de compromission ? Pourquoi vos clients ont-ils dû attendre deux mois avant même d’apprendre que vous avez été piraté ?“, réitère t-il, cette fois, à l’attention non-pas d’Okta mais de son support-tiers, Sitel.

 

 

En plus d’Okta-Sitel, Lapsus$ aurait ex-filtré les données de Globant, une entreprise basée en Argentine et au Luxembourg (siège social) et spécialisée dans les solutions ou logiciels informatiques. En plus des partenaires illustrés ci-dessus, la brèche sécuritaire, de quelques 70 Go révèle la compromission d’autres entreprises ou groupes, tels que, entre-autres, Abbott, Arcserve, Avengers, BNP Paribas, DHL, C-Span, Facebook, FluentLab, Fortune, Galicia, Facebook ou encore Stifel.

Dans un communiqué du 30 Mars 2022, Globant tente de minimiser la main-basse en se voulant rassurant quant à l’étendue de la brèche sécuritaire : “nous avons récemment détecté qu’une section limitée du référentiel de code de notre société a été soumise à un accès non autorisé. Nous avons activé nos protocoles de sécurité et nous organisons une enquête exhaustive. Selon notre analyse actuelle, les informations qui ont été consultées étaient limitées à certaines documents de code source et de documentation liée au projet pour un nombre très limité de clients. À ce jour, nous n’avons trouvé aucune preuve que d’autres domaines de nos systèmes d’infrastructure ou de ceux de nos clients étaient affectés“.

Sur la chaîne Telegram, les cyber-attaquants évoquent une ex-filtration relatives aux “identifiants admin pour l’ENSEMBLE des plate-formes de développement” depuis de nombreux espaces (confluence, crucible, jira et github) avec, concernant confluence, un accès à “plus de 3 000 espaces de documents-clients” ; les mots de passe avec identifiants étant disponibles depuis Telegram, en notant que certains domaines ou pages dédiées, ne sont bien sûr plus accessibles… A veiller !

 

 

 

 

Sources :

 




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.11.6