قال LastPass ، الذي كان ذكيًا بالفعل من خرق وضع بيانات تسجيل الدخول المشفرة جزئيًا في أيدي ممثل التهديد ، إن المهاجم نفسه اخترق جهاز الكمبيوتر المنزلي للموظف وحصل على قبو غير مشفر متاح لعدد قليل فقط من مطوري الشركة.
على الرغم من أن التدخل الأولي في LastPass انتهى في 12 أغسطس ، إلا أن المسؤولين مع مدير كلمات المرور الرئيسي قالوا إن ممثل التهديد “شارك بنشاط في سلسلة جديدة من أنشطة الاستطلاع والتعداد والتسلل” من 12 أغسطس إلى 26 أغسطس. تمكن ممثل التهديد غير المعروف من سرقة بيانات اعتماد صالحة من مهندس كبير في DevOps والوصول إلى محتويات قبو بيانات LastPass. من بين أشياء أخرى ، منح المخزن إمكانية الوصول إلى بيئة تخزين سحابية مشتركة تحتوي على مفاتيح التشفير للنسخ الاحتياطية لخزينة العملاء المخزنة في حاويات Amazon S3.
تسقط قنبلة أخرى
كتب مسؤولو LastPass: “تم تحقيق ذلك من خلال استهداف الكمبيوتر المنزلي لمهندس DevOps واستغلال حزمة برامج وسائط خاصة بطرف ثالث ، والتي مكّنت من إمكانية تنفيذ التعليمات البرمجية عن بُعد وسمحت للممثل المهاجم بزرع برامج ضارة لـ Keylogger”. “تمكن ممثل التهديد من الحصول على كلمة المرور الرئيسية للموظف كما تم إدخالها ، بعد مصادقة الموظف مع MFA ، والوصول إلى قبو الشركة LastPass لمهندس DevOps.”
كان مهندس DevOps الذي تم اختراقه واحدًا من أربعة موظفين فقط في LastPass لديهم إمكانية الوصول إلى قبو الشركة. بمجرد امتلاك المخزن الذي تم فك تشفيره ، قام ممثل التهديد بتصدير الإدخالات ، بما في ذلك “مفاتيح فك التشفير اللازمة للوصول إلى النسخ الاحتياطية لإنتاج AWS S3 LastPass ، وموارد التخزين الأخرى المستندة إلى مجموعة النظراء ، وبعض النسخ الاحتياطية لقاعدة البيانات المهمة”.
يأتي تحديث يوم الاثنين بعد شهرين من إصدار LastPass لتحديث قنبلة سابق قال لأول مرة إنه ، على عكس التأكيدات السابقة ، حصل المهاجمون على بيانات خزينة للعملاء تحتوي على بيانات مشفرة وصريحة. قال LastPass حينها إن المهاجم قد حصل أيضًا على مفتاح الوصول إلى التخزين السحابي ومفاتيح فك تشفير حاوية التخزين المزدوجة ، مما يسمح بنسخ بيانات النسخ الاحتياطي لخزينة العميل من حاوية التخزين المشفرة.
احتوت بيانات النسخ الاحتياطي على بيانات غير مشفرة ، مثل عناوين URL لمواقع الويب ، بالإضافة إلى أسماء مستخدمي مواقع الويب وكلمات المرور والملاحظات الآمنة والبيانات المملوءة بالنماذج ، والتي تحتوي على طبقة إضافية من التشفير باستخدام 256 بت AES. توضح التفاصيل الجديدة كيف حصل ممثل التهديد على مفاتيح تشفير S3.
قال تحديث يوم الاثنين إن التكتيكات والتقنيات والإجراءات المستخدمة في الحادث الأول كانت مختلفة عن تلك المستخدمة في الحادثة الثانية ، ونتيجة لذلك ، لم يتضح للمحققين في البداية أن الاثنين مرتبطان ارتباطًا مباشرًا. خلال الحادثة الثانية ، استخدم الفاعل المعني بالتهديد المعلومات التي تم الحصول عليها خلال الحادث الأول لتعداد البيانات المخزنة في حاويات S3 واستخراجها.
كتب مسؤولو LastPass: “تم تمكين التنبيه والتسجيل خلال هذه الأحداث ، لكن لم يشر على الفور إلى السلوك الشاذ الذي أصبح أكثر وضوحًا في وقت لاحق أثناء التحقيق”. “على وجه التحديد ، كان ممثل التهديد قادرًا على الاستفادة من بيانات الاعتماد الصالحة المسروقة من مهندس كبير في DevOps للوصول إلى بيئة تخزين سحابية مشتركة ، مما جعل من الصعب على المحققين في البداية التمييز بين نشاط ممثل التهديد والنشاط المشروع المستمر.”
علم LastPass بالحادثة الثانية من تحذيرات Amazon من السلوك الشاذ عندما حاول ممثل التهديد استخدام أدوار Cloud Identity and Access Management (IAM) لأداء نشاط غير مصرح به.
وفقًا لشخص تم إطلاعه على تقرير خاص من LastPass والذي تحدث بشرط عدم الكشف عن هويته ، فإن حزمة برامج الوسائط التي تم استغلالها على جهاز الكمبيوتر المنزلي للموظف كانت Plex. ومن المثير للاهتمام ، أن Plex أبلغت عن اختراق شبكتها الخاصة في 24 أغسطس ، بعد 12 يومًا فقط من بدء الحادث الثاني. سمح الاختراق للممثل المهدد بالوصول إلى قاعدة بيانات خاصة وسرقة بيانات كلمة المرور وأسماء المستخدمين ورسائل البريد الإلكتروني الخاصة ببعض من 30 مليون عميل. Plex هو مزود رئيسي لخدمات دفق الوسائط التي تتيح للمستخدمين دفق الأفلام والصوت وتشغيل الألعاب والوصول إلى المحتوى الخاص بهم المستضاف على خوادم الوسائط المنزلية أو المحلية.
لم يرد ممثلو LastPass و Plex على الفور على رسائل البريد الإلكتروني التي تطلب التعليق على هذه القصة.
لقد أثبت عامل التهديد الذي يقف وراء اختراق LastPass أنه ذو حيلة بشكل خاص ، كما أن الكشف عن نجاحه في استغلال ثغرة في البرنامج على الكمبيوتر المنزلي للموظف يعزز هذا الرأي. كما نصح Ars في ديسمبر ، يجب على جميع مستخدمي LastPass تغيير كلمات المرور الرئيسية وكل كلمات المرور المخزنة في خزائنهم. في حين أنه ليس من الواضح ما إذا كان الفاعل لديه إمكانية الوصول إلى أي منهما ، فإن الاحتياطات لها ما يبررها.