Beheer

Security
sleutels

Lapsus$-inval bij Okta leunde op misstanden bij ketenpartner Sitel

Lapsus$-bende vond spreadsheet met in bestandsnaam ‘LastPass’ en ‘beheerders’.

© Shutterstock
1 april 2022

Lapsus$-bende vond spreadsheet met in bestandsnaam ‘LastPass’ en ‘beheerders’.

De succesvolle Lapsus$-bende is binnengekomen bij Okta - belangrijke leverancier van identiteits- en toegangsbeheer - via partnerbedrijf Sitel. Dat levert de klantcontactsystemen bij Okta. De criminelen konden daarbij gebruik maken van misstanden bij Sitel, zo blijkt uit het uitgelekte rapport van beveiligingsspecialist Mandiant die onderzoek deed naar deze geruchtmakende cyberaanval.

Het onderzoeksrapport van Mandiant is niet officieel vrijgegeven, maar delen ervan zijn toch naar buiten gekomen. Daaruit blijkt dat de aanvallers bij Sitel vernuftige hacks hebben uitgevoerd, maar ook dom geluk hebben gehad. Opmerkelijk was de vondst van het bestand  'DomAdmins-LastPass.xlsx'. De bestandsnaam van dat Excel-document suggereert een lijst van wachtwoorden, en dan voor domeinbeheerders. De naam van passwordmanager LastPass in de bestandsnaam doet vermoeden dat die spreadsheet het resultaat is van een export uit de bekende LastPass-tool voor veilig beheer van wachtwoorden.

Het is onbekend of het hier een bedrijfsbrede lijst betrof van alle beheerders, of slechts een beperkte set van bijvoorbeeld een individuele LastPass-gebruiker. Op social media speculeren security-experts of een licentieverandering bij LastPass wellicht aanleiding is geweest voor de export van opgeslagen beheerderswachtwoorden. Sinds 16 maart vorig jaar staat LastPass gebruikers van zijn gratis versie alleen nog maar gebruik toe van óf een mobiel apparaat óf een computer.

Vers account aanmaken

De aanvallers zijn bij Sitel binnengekomen via een VPN-gateway die onderdeel is van het netwerk van Sykes, een bedrijf dat Sitel vorig jaar heeft overgenomen. Dat bedrijf levert systemen om intern de klantenservice te ondersteunen.

Enkele uren nadat de aanvallers het Excel-bestand vonden, hebben ze een nieuw gebruikersaccount aangemaakt in de Sykes-omgeving van Sitel. Vervolgens is dat verse account toegevoegd aan een groep genaamd ‘tenant administrators’, meldt TechCrunch. Deze categorie beheerders heeft brede toegang binnen de IT-omgeving van het bedrijf.

Waarschijnlijk is daarlangs ook een backdooraccount aangemaakt. Via die nieuwe ingang konden de aanvallers opnieuw binnenkomen, ook als hun initiële ingang zou worden ontdekt en afgesloten. Sitel heeft daarna nog wel een bedrijfsbrede wachtwoordreset doorgevoerd, in een poging om de hackers buiten te sluiten.

Andere verbijsterende feiten in de Sitel/Okta-hack zijn dat bepaalde beveiligingsvoorzieningen niet alleen zijn omzeild, maar dat de aanvallers dat lukte op kinderlijk eenvoudige wijze. Daarbij zijn ze zelfs behoorlijk openlijk te werk gegaan.

Zo is de bij Sitel aanwezige endpoint-bescherming van leverancier FireEye botweg uitgeschakeld. Hoe? Door simpelweg het bijbehorende proces te beëindigen via de Microsoft-tool Process Explorer. De FireEye-securitysoftware is daarna niet automatisch opnieuw gestart en er is ook geen alarmmelding over de uitschakeling afgegeven. De vraag is dus of functionaliteit voor ‘tamper protection’ wel was ingeschakeld. Daarnaast lijkt monitoring niet of niet goed te zijn ingesteld.

Online-zoeken naar hacktools

Verder hebben de cybercriminelen van de Lapsus$-bende vanaf een gecompromitteerde Sitel-computer op internet gezocht naar tools en informatie voor hun hackwerk. Zoekopdrachten bij Microsofts zoekmachine Bing zijn uitgevoerd om beheertool Process Explorer te downloaden, om hacktool Mimikatz te downloaden en om exploitcode voor hogere Windows-rechten te downloaden.

De laatstgenoemde code was nodig om misbruik te kunnen maken van een bekende kwetsbaarheid (CVE-2021-34484). Dit beveiligingsgat in Windows is in augustus vorig jaar onthuld, toen Microsoft er patches voor uitbracht. Die security-updates zijn echter niet helemaal dekkend gebleken, waarna Microsoft in januari nog een nieuwe patch heeft uitgebracht (met een nieuw CVE-nummer: 2022-21919). In maart dit jaar zijn nog nieuwe onofficiële patches uitgebracht door securityleverancier 0patch.

‘Géén wachtwoorden’

In een later afgegeven persverklaring heeft Sitel gesteld dat de spreadsheet alleen maar namen bevatte van legacy-accounts van Sykes. Er zouden dus géén wachtwoorden in het Excel-bestand staan. Maar waarom heet het Excel-bestand dan ‘DomAdmins-LastPass’ terwijl het geen wachtwoorden bevat volgens Sitel? Lastpass is immers voor het beheren van logins, dus gebruikersnamen compleet met wachtwoorden.

Mogelijk dat de export naar dit Excel-document later nog is bewerkt, waarbij dan wachtwoorden zijn verwijderd. Simpelweg het bestaan van dat bestand is echter een veeg teken. Het opslaan van accountinformatie in leesbare vorm wordt beschouwd als een slechte securitypraktijk. Dit dus nog naast de overige misstanden waardoor Sitel op brutale en vrij openlijke manier is gecompromitteerd.

Terwijl bovenstaande hackoperatie in gang was bij Sitel, is de Lapsus$-bende ook de aanval op Okta begonnen, zo blijkt uit het Mandiant-rapport. Dat delen daarvan in de openbaarheid kwamen, is mede te danken aan IT-beveiligingsexpert Bill Demirkapi, tot voor kort in dienst bij teleconferencingbedrijf Zoom. Hij is daar zijn baan als security-onderzoeker kwijtgeraakt nadat hij weigerde zijn tweets met de onthullende informatie te verwijderen. Demirkapi is begin 2020 door Zoom in huis gehaald voor het eigen securityteam nadat hij de videovergadersoftware van het bedrijf had uitgeplozen.

Jonge, succesvolle aanvallers

Sitel en Okta zijn slechts enkele van de bedrijven die door de inmiddels beruchte Lapsus$-bende zijn geraakt en in een aantal gevallen ook afgeperst. De relatief nieuwe cybercrimebende is eind vorig jaar bekend geworden door een datadiefstal van 50 terabyte bij het Braziliaanse ministerie van Gezondheid. Daarna zijn andere Zuid-Amerikaanse en Portugese bedrijven geraakt en vervolgens techreuzen als Samsung, Nvidia en Microsoft.

Laatstgenoemde slachtoffer heeft een uitgebreide analyse van deze cybercriminele groep gepubliceerd. Opvallend is dat de succesvolle inbrekers en afpersers openlijk - zelfs enigszins borstkloppend - te werk gaan, stipt het Threat Intelligence Team van Microsoft aan. De cybercriminelen kondigen hun daden publiekelijk aan, met screenshots en gedeeltelijke datadumps als bewijs.

Deze afwijkende werkwijze kan de succesvolle cybercriminelen nu de kop hebben gekost. Afgelopen week heeft de Britse politie zeven jongemannen (van 16 tot 21 jaar) opgepakt die ervan verdacht worden Lapsus$ te vormen. Daaronder ook een 16-jarige jongen die de leider zou zijn.

Met die arrestaties is deze cybercrimebende echter niet gelijk lamgelegd. Lapsus$ lijkt de hackactiviteiten voort te zetten en heeft na de arrestaties nog van zich laten horen. De buit van een inbraak bij softwarebedrijf Globant is deze week deels online gepubliceerd. Het is echter mogelijk dat dit op een tijdsklok is gedaan, ingesteld vóór de arrestaties in Groot-Brittannië. De tijd zal het leren of de naam Lapsus$ nog vaak opnieuw zal opduiken in het securitynieuws.

Log4j-securitydrama

En de naam Okta, is die niet een paar maanden terug al opgeoken in het securitynieuws? Jawel, Okta is namelijk één van de vele IT-bedrijven die in de lijst staat van ‘doorleveranciers’ van Log4j. Die Java-tool voor logging bleek eind vorig jaar een groot beveiligingsgat te hebben. Door het wijdverbreide gebruik van deze opensourcesoftware in producten van anderen is het securitydrama van Log4j nog veel groter gebleken.

Het geval Log4j was al een praktijkgeval van supplychainsecurity, of eigenlijk: insecurity in en door de supplychain. In het nu recente geval van de Sitel/Okta-hack, die ook Microsoft heeft geraakt, is die Java-tool niet betrokken. Het is echter wel weer een voorbeeld van de kracht van ketenwerking, voor kwaadwillenden. Als zij bij een relatief zwakke schakel weten binnen te komen, kan hun bereik daarlangs groot zijn.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.