El actor de amenazas detrás de una serie de compromisos del especialista en administración de credenciales LastPass atacó la computadora de la casa de un ingeniero de DevOps para obtener acceso a las claves de descifrado de la organización.
El primer ataque tuvo lugar en agosto de 2022 y LastPass fue elogiado por su rápida respuesta al incidente, en el que el atacante accedió a un código fuente e información técnica patentada.
Luego usaron la información obtenida en ese momento, antes de que LastPass completara un restablecimiento, para enumerar y filtrar datos de los recursos de almacenamiento en la nube, en una segunda intrusión más profunda y duradera, revelada en diciembre de 2022, en la que accedieron a los datos de los clientes. .
Los datos de clientes comprometidos incluían información de la cuenta, como nombres de empresa y de usuario, direcciones de facturación, direcciones de correo electrónico, números de teléfono y direcciones IP desde donde accedieron a LastPass.
Los ciberdelincuentes también accedieron a una copia de seguridad de los datos de la bóveda del cliente, incluidos los campos cifrados, pero como estos están cifrados con cifrado AES de 256 bits y solo se pueden descifrar utilizando una clave derivada de la contraseña maestra del usuario, que LastPass nunca conoce, esto ser muy difícil de lograr siempre y cuando el usuario siguiera las mejores prácticas recomendadas.
Inicialmente, LastPass solo reveló que el atacante apuntó al punto final de un desarrollador, pero la investigación ahora ha arrojado más detalles.
“Debido a los controles de seguridad que protegen y aseguran las instalaciones del centro de datos en las instalaciones de la producción de LastPass, el actor de amenazas apuntó a uno de los cuatro ingenieros de DevOps que tenían acceso a las claves de descifrado necesarias para acceder al servicio de almacenamiento en la nube”, reveló LastPass en un nuevo actualizar.
“Esto se logró apuntando a la computadora de la casa del ingeniero de DevOps y explotando un paquete de software de medios de terceros vulnerable, que permitió la ejecución remota de código. [RCE] capacidad y permitió al actor de amenazas implantar malware keylogger. El actor de amenazas pudo capturar la contraseña maestra del empleado tal como se ingresó, después de que el empleado se autenticó con MFA, y obtuvo acceso a la bóveda corporativa de LastPass del ingeniero de DevOps.
“El actor de amenazas luego exportó las entradas de la bóveda corporativa nativa y el contenido de las carpetas compartidas, que contenían notas seguras cifradas con acceso y claves de descifrado necesarias para acceder a las copias de seguridad de producción de AWS S3 LastPass, otros recursos de almacenamiento basados en la nube y algunas copias de seguridad de bases de datos críticas relacionadas. ”, dijo la organización.
Agregó que el ingeniero en cuestión ha estado recibiendo apoyo para fortalecer su red y equipos domésticos.
LastPass dijo que debido a las diferentes tácticas, técnicas y procedimientos (TTP) utilizados en la cadena de ataque, no había sido inmediatamente obvio que lo que al principio parecían ser dos incidentes diferentes en realidad estaban vinculados.
Además, agregó, las alertas y el registro se habilitaron durante los eventos, pero no indicaron de inmediato el comportamiento anómalo que luego se hizo más evidente. El hecho de que las credenciales válidas del desafortunado ingeniero se usaran para acceder a un entorno de almacenamiento en la nube compartido hizo que fuera más difícil diferenciar entre actividades legítimas e ilegítimas.
En última instancia, dijo LastPass, tenía que agradecer a AWS: fueron las alertas GuardDuty del proveedor las que marcaron un comportamiento anómalo cuando el atacante intentó usar roles de administración de acceso e identidad en la nube para realizar actividades no autorizadas.
Desde el ataque, LastPass ha tomado una serie de medidas para fortalecer su propia seguridad cibernética, incluida la rotación de credenciales críticas y de alto privilegio, la revocación y reemisión de los certificados comprometidos y la aplicación de medidas adicionales de fortalecimiento a sus recursos de AWS S3.
Dadas las aparentes fallas en su capacidad para responder rápidamente a las alertas, también revisó su cobertura de respuesta y detección de amenazas, e incorporó nuevos servicios automatizados y administrados para ayudar con esto, incluidos análisis personalizados para detectar posibles abusos de los recursos de AWS.