Uber hat den Vorgang bei der jüngsten Cyberattacke rekonstruiert: Das Konto eines Uber EXT-Vertragspartners wurde von einem Angreifer kompromittiert. Es ist wahrscheinlich, dass der Angreifer das Uber-Unternehmenspasswort des Vertragspartners im Dark Web gekauft hat, nachdem das persönliche Gerät des Vertragspartners mit Schadsoftware infiziert wurde, die diese Anmeldedaten offenlegte.
Der Angreifer versuchte dann wiederholt, sich beim Uber-Konto des Auftragnehmers anzumelden. Jedes Mal wurde der Auftragnehmer aufgefordert, die Anmeldung mit zwei Faktoren zu bestätigen, was den Zugang zunächst blockierte. Schließlich akzeptierte der Unternehmer die Anfrage, und der Angreifer meldete sich erfolgreich an.
Von dort aus griff der Angreifer auf mehrere andere Mitarbeiterkonten zu, die ihm schließlich erweiterte Berechtigungen für eine Reihe von Tools, darunter G-Suite und Slack, gaben. Der Angreifer postete dann eine Nachricht in einem unternehmensweiten Slack-Kanal, die viele von Ihnen gesehen haben, und konfigurierte das OpenDNS von Uber neu, um den Mitarbeitern auf einigen internen Websites eine Grafik anzuzeigen.
Ubers bestehenden Sicherheitsüberwachungsprozesse ermöglichten es den internen Sicherheits-Teams, das Problem schnell zu erkennen und darauf zu reagieren. Die obersten Prioritäten bestanden darin, sicherzustellen, dass der Angreifer keinen Zugang mehr zu den Systemen hatte, dass die Benutzerdaten sicher waren und die Uber-Dienste nicht beeinträchtigt wurden, und dann den Umfang und die Auswirkungen des Vorfalls zu untersuchen.
Im Folgenden sind einige der wichtigsten Maßnahmen aufgeführt, die Uber ergriffen hat:
Uber hat alle Mitarbeiterkonten identifiziert, die kompromittiert oder potenziell kompromittiert waren, und entweder ihren Zugang zu den Uber-Systemen gesperrt oder eine Passwortrücksetzung verlangt. Viele betroffene oder potenziell betroffene interne Tools wurden deaktiviert. Die Schlüssel zu vielen der internen Dienste wurden ausgetauscht und damit der Zugang zurückgesetzt. Die Codebasis wurde gesperrt, um neue Codeänderungen zu verhindern.
Bei der Wiederherstellung des Zugriffs auf interne Tools mussten sich die Mitarbeiter erneut authentifizieren. Außerdem hat Uber die Richtlinien zur Multi-Faktor-Authentifizierung (MFA) weiter verschärft. Die interne Umgebung wird zusätzlich überwacht, um weitere verdächtige Aktivitäten noch besser im Auge behalten zu können.
Was waren die Auswirkungen?
Der Angreifer hat sich Zugang zu mehreren internen Systemen verschafft, und die Untersuchung konzentriert sich darauf, festzustellen, ob es wesentliche Auswirkungen gegeben hat. Diese ist zwar noch nicht abgeschlossen, aber es gibt bereits einige Details zu aktuellen Erkenntnissen.
In erster Linie gibt es keine Hinweise darauf, dass der Angreifer auf die Produktionssysteme (d. h. die öffentlich zugänglichen Systeme), die die Uber Anwendungen betreiben, auf Benutzerkonten oder auf die Datenbanken, in denen sensible Benutzerdaten wie Kreditkartennummern, Bankkontodaten oder Reisedaten gespeichert sind, zugegriffen hat. Uber verschlüsselt auch Kreditkarteninformationen und persönliche Gesundheitsdaten, um einen weiteren Schutz zu gewährleisten.
Uber hat die Codebasis überprüft und konnte nicht feststellen, dass der Angreifer irgendwelche Änderungen vorgenommen hat. Es wurde auch nicht festgestellt, dass der Angreifer auf Kunden- oder Benutzerdaten zugegriffen hat, die bei Cloud-Anbietern (z. B. AWS S3) gespeichert sind. Es scheint jedoch, dass der Angreifer einige interne Slack-Nachrichten heruntergeladen und auf Informationen aus einem internen Tool zugegriffen bzw. diese heruntergeladen hat, das das Finanzteam zur Verwaltung einiger Rechnungen verwendet.
Der Angreifer konnte auf das Dashboard bei HackerOne zugreifen, wo Sicherheitsforscher Bugs und Schwachstellen melden. Alle Fehlerberichte, auf die der Angreifer zugreifen konnte, wurden jedoch bereits behoben.
Wer ist verantwortlich?
Uber glaubt, dass der Angreifer (oder die Angreifer) mit einer Hackergruppe namens Lapsus$ in Verbindung steht, die seit etwa einem Jahr zunehmend aktiv ist. Diese Gruppe verwendet in der Regel ähnliche Techniken, um Technologieunternehmen anzugreifen, und hat allein im Jahr 2022 u. a. Microsoft, Cisco, Samsung, Nvidia und Okta angegriffen. Am Wochenende gab es außerdem Berichte, dass derselbe Täter in den Videospielhersteller Rockstar Games eingedrungen ist. Uber steht in dieser Angelegenheit in enger Abstimmung mit dem FBI und dem US-Justizministerium und wird deren Bemühungen weiterhin unterstützen.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…