Cyberattacke: Uber beschuldigt Lapsus$

Uber hat den Vorgang bei der jüngsten Cyberattacke rekonstruiert: Das Konto eines Uber EXT-Vertragspartners wurde von einem Angreifer kompromittiert. Es ist wahrscheinlich, dass der Angreifer das Uber-Unternehmenspasswort des Vertragspartners im Dark Web gekauft hat, nachdem das persönliche Gerät des Vertragspartners mit Schadsoftware infiziert wurde, die diese Anmeldedaten offenlegte.

Der Angreifer versuchte dann wiederholt, sich beim Uber-Konto des Auftragnehmers anzumelden. Jedes Mal wurde der Auftragnehmer aufgefordert, die Anmeldung mit zwei Faktoren zu bestätigen, was den Zugang zunächst blockierte. Schließlich akzeptierte der Unternehmer die Anfrage, und der Angreifer meldete sich erfolgreich an.

Von dort aus griff der Angreifer auf mehrere andere Mitarbeiterkonten zu, die ihm schließlich erweiterte Berechtigungen für eine Reihe von Tools, darunter G-Suite und Slack, gaben. Der Angreifer postete dann eine Nachricht in einem unternehmensweiten Slack-Kanal, die viele von Ihnen gesehen haben, und konfigurierte das OpenDNS von Uber neu, um den Mitarbeitern auf einigen internen Websites eine Grafik anzuzeigen.

Ubers bestehenden Sicherheitsüberwachungsprozesse ermöglichten es den internen Sicherheits-Teams, das Problem schnell zu erkennen und darauf zu reagieren. Die obersten Prioritäten bestanden darin, sicherzustellen, dass der Angreifer keinen Zugang mehr zu den Systemen hatte, dass die Benutzerdaten sicher waren und die Uber-Dienste nicht beeinträchtigt wurden, und dann den Umfang und die Auswirkungen des Vorfalls zu untersuchen.

Im Folgenden sind einige der wichtigsten Maßnahmen aufgeführt, die Uber ergriffen hat:

Uber hat alle Mitarbeiterkonten identifiziert, die kompromittiert oder potenziell kompromittiert waren, und entweder ihren Zugang zu den Uber-Systemen gesperrt oder eine Passwortrücksetzung verlangt. Viele betroffene oder potenziell betroffene interne Tools wurden deaktiviert. Die Schlüssel zu vielen der internen Dienste wurden ausgetauscht und damit der Zugang zurückgesetzt. Die Codebasis wurde gesperrt, um neue Codeänderungen zu verhindern.

Bei der Wiederherstellung des Zugriffs auf interne Tools mussten sich die Mitarbeiter erneut authentifizieren. Außerdem hat Uber die Richtlinien zur Multi-Faktor-Authentifizierung (MFA) weiter verschärft. Die interne Umgebung wird zusätzlich überwacht, um weitere verdächtige Aktivitäten noch besser im Auge behalten zu können.

Was waren die Auswirkungen?

Der Angreifer hat sich Zugang zu mehreren internen Systemen verschafft, und die Untersuchung konzentriert sich darauf, festzustellen, ob es wesentliche Auswirkungen gegeben hat. Diese ist zwar noch nicht abgeschlossen, aber es gibt bereits einige Details zu aktuellen Erkenntnissen.

In erster Linie gibt es keine Hinweise darauf, dass der Angreifer auf die Produktionssysteme (d. h. die öffentlich zugänglichen Systeme), die die Uber Anwendungen betreiben, auf Benutzerkonten oder auf die Datenbanken, in denen sensible Benutzerdaten wie Kreditkartennummern, Bankkontodaten oder Reisedaten gespeichert sind, zugegriffen hat. Uber verschlüsselt auch Kreditkarteninformationen und persönliche Gesundheitsdaten, um einen weiteren Schutz zu gewährleisten.

Uber hat die Codebasis überprüft und konnte nicht feststellen, dass der Angreifer irgendwelche Änderungen vorgenommen hat. Es wurde auch nicht festgestellt, dass der Angreifer auf Kunden- oder Benutzerdaten zugegriffen hat, die bei Cloud-Anbietern (z. B. AWS S3) gespeichert sind. Es scheint jedoch, dass der Angreifer einige interne Slack-Nachrichten heruntergeladen und auf Informationen aus einem internen Tool zugegriffen bzw. diese heruntergeladen hat, das das Finanzteam zur Verwaltung einiger Rechnungen verwendet.

Der Angreifer konnte auf das Dashboard bei HackerOne zugreifen, wo Sicherheitsforscher Bugs und Schwachstellen melden. Alle Fehlerberichte, auf die der Angreifer zugreifen konnte, wurden jedoch bereits behoben.

Wer ist verantwortlich?

Uber glaubt, dass der Angreifer (oder die Angreifer) mit einer Hackergruppe namens Lapsus$ in Verbindung steht, die seit etwa einem Jahr zunehmend aktiv ist. Diese Gruppe verwendet in der Regel ähnliche Techniken, um Technologieunternehmen anzugreifen, und hat allein im Jahr 2022 u. a. Microsoft, Cisco, Samsung, Nvidia und Okta angegriffen. Am Wochenende gab es außerdem Berichte, dass derselbe Täter in den Videospielhersteller Rockstar Games eingedrungen ist. Uber steht in dieser Angelegenheit in enger Abstimmung mit dem FBI und dem US-Justizministerium und wird deren Bemühungen weiterhin unterstützen.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago