Uber accuse le groupe de pirates LAPSUS$ d’être à l’origine d’une récente faille de sécurité

Lundi, Uber a révélé de nouvelles informations sur le problème de sécurité survenu la semaine précédente. L’entreprise a déterminé que l’attaque a été menée par un acteur de la menace qu’elle pense être lié à la tristement célèbre organisation de hackers LAPSUS$.

Investissez dans des actions Uber rapidement en vous inscrivant ci-dessous :

Uber confronté à de dangereux pirates du web

Microsoft, Cisco, Samsung, NVIDIA et Okta, entre autres, font partie des entreprises technologiques agressées par ce groupe en 2022, selon une mise à jour de l’entreprise de San Francisco. Ce groupe fait référence à la bande de pirates à l’origine de la brèche.

Lorsque la police de la ville de Londres a cherché à arrêter sept personnes âgées de 16 à 21 ans pour leurs liens supposés avec l’organisation en mars 2022, le gang d’extorqueurs à motivation financière a reçu un coup dur. Des fraudes auraient été commises par deux de ces délinquants mineurs.

Le pirate à l’origine de la faille chez Uber, un jeune de 18 ans qui se fait appeler Tea Pot, a également revendiqué le vol d’un producteur de jeux vidéo, Rockstar Games, au cours du week-end.

En plus de communiquer avec le Federal Bureau of Investigation (FBI) et le ministère de la Justice des États-Unis sur le problème, Uber a déclaré qu’elle collaborait avec “de nombreuses sociétés d’expertise numérique de premier plan” pendant que l’enquête de l’entreprise sur l’événement se poursuit.

Quant à la manière dont l’attaque a été menée, la société de covoiturage a déclaré qu’un “contractant d’EXT” a vu son appareil personnel infecté par un logiciel malveillant, et que ses identifiants de compte d’entreprise ont été volés et vendus sur le dark web. Ces informations corroborent un rapport antérieur établi par Group-IB.

La semaine précédente, l’entreprise basée à Singapour a découvert qu’au moins deux employés d’Uber au Brésil et en Indonésie avaient été infectés par les malwares Raccoon et Vidar, qui volent des informations sensibles.

Selon le communiqué de l’entreprise, “l’attaquant a ensuite tenté de s’introduire à plusieurs reprises dans le compte Uber de l’entrepreneur.” À chaque fois, le système d’authentification à deux facteurs, qui refusait initialement l’accès, a invité l’entrepreneur à valider sa connexion. Cependant, à un moment donné, l’entrepreneur en a accepté une, et l’attaquant a pu se connecter avec succès.”

La partie néfaste aurait obtenu des droits améliorés sur “de nombreuses plateformes internes” telles que Google Workspace et Slack après avoir pris pied et acquis l’accès à des comptes d’employés supplémentaires.

En outre, la société a déclaré avoir mis en place divers mécanismes de réponse aux incidents. Ceux-ci comprennent la suppression des outils impactés, la rotation des clés de service, le verrouillage de la base de code et l’interdiction aux comptes du personnel compromis d’accéder aux réseaux Uber ou de modifier leurs mots de passe.

Des dégâts peu importants selon Uber

Le nombre de comptes d’employés qui ont pu être piratés n’a pas été révélé par Uber, néanmoins, la société a réaffirmé qu’aucune modification non autorisée du code n’a été effectuée et que rien n’indique que le pirate ait eu accès aux systèmes de production qui prennent en charge ses applications destinées aux clients.

Cependant, on pense que le jeune pirate a obtenu une quantité inconnue de communications internes sur Slack ainsi que des informations provenant d’un programme interne que le personnel financier de l’entreprise utilise pour suivre des factures spécifiques.

Uber a confirmé que le pirate avait consulté des rapports de bugs sur HackerOne, mais a déclaré que “tous les rapports de bugs auxquels le pirate a pu accéder ont été rectifiés.”

Roger Grimes, évangéliste de la défense basée sur les données chez KnowBe4, a déclaré dans un communiqué : “Il n’y a qu’une seule façon de rendre l’authentification multifactorielle basée sur le push plus résiliente, et c’est de former vos employés qui l’utilisent sur les types courants d’attaques contre elle, comment détecter ces attaques, et comment les atténuer et les signaler si elles se produisent.”

La nécessité de se protéger est mise en évidence grâce au cas Uber

Selon le vice-président de l’architecture des solutions chez Cerberus Sentinel, l’authentification multifactorielle (MFA) n’est pas une solution miracle car tous les facteurs ne sont pas égaux.

Si l’on passe de l’authentification par SMS à une stratégie basée sur les applications pour minimiser les dangers liés aux attaques par échange de cartes SIM, le piratage d’Uber et de Cisco démontre que les mécanismes de sécurité que l’on croyait infaillibles sont contournés par de nouveaux moyens.

Le fait que les acteurs de la menace s’appuient sur des vecteurs d’attaque tels que les boîtes à outils proxy de type “adversary-in-the-middle” (AiTM) et la fatigue de l’authentification multifactorielle (également connue sous le nom de “prompt bombing”) pour inciter un utilisateur peu méfiant à donner par inadvertance son code d’accès à usage unique (OTP) ou à autoriser une demande d’accès indique la nécessité de disposer de méthodes d’authentification résistantes au phishing.

Selon Clements, “les organisations devraient utiliser des variantes plus sécurisées de l’approbation MFA, comme la correspondance de numéros, pour réduire la possibilité qu’un utilisateur accepte sans réfléchir une invitation de vérification d’authentification.”

Les techniques d’authentification forte “devraient être l’une des nombreuses procédures défensives profondes pour éviter la compromission”, a déclaré Clements, ajoutant que “dans la pratique, un attaquant n’a qu’à compromettre un seul utilisateur pour créer un préjudice considérable ; tôt ou tard, vous subirez de gros dégâts.”