Возможный взлом компании Okta и его последствия

Хакеры из группировки LAPSUS$ опубликовали в Интернете скриншоты, предположительно сделанные в информационных системах компании Okta. Если верить злоумышленникам, то они имеют доступ не только к сайту компании, но и к ряду других внутренних систем, в том числе и достаточно критическим.

LAPSUS$ утверждают, что они не похищали никаких данных у самой компании, их целью были в основном клиенты Okta. Судя по датам на скриншотах, доступ к системам у злоумышленников был еще в январе этого года.

Что за компания Okta и почему ее взлом так важен?

Компания Okta разрабатывает и поддерживает системы управления учетными данными и доступами (Identity and Access Management). В частности, они поставляют решение для единого входа (Single Sign-On). Клиентами Okta является огромное количество достаточно крупных фирм.

Эксперты «Лаборатории Касперского» полагают, что доступ к системам Okta может объяснить достаточно громкие утечки информации из крупных компаний, ответственность за которые взяли на себя хакеры из LAPSUS$.

Как злоумышленники проникли в инфраструктуру Okta?

На данный момент доподлинно неизвестно, как хакеры получили доступ. Согласно официальному заявлению компании, сейчас ее специалисты проводят расследование и обещают поделиться подробностями, как только оно будет завершено. Не исключено, что опубликованные скриншоты связаны с январским инцидентом, в ходе которого неизвестные пытались скомпрометировать учетную запись инженера техподдержки, работающего на стороннего подрядчика.

Обновлено 23 марта 2022: LAPSUS$ опубликовали свой ответ на официальное заявление Okta в котором обвиняют компанию в попытках преуменьшить возможный урон.

Кто такие LAPSUS$ и что про них известно?

LAPSUS$ приобрела известность в 2020 году — тогда преступники проникли в системы бразильского Министерства здравоохранения. Предположительно, это латиноамериканская хакерская группировка, похищающая информацию крупных компаний ради выкупа. Если жертвы отказываются платить выкуп, хакеры выкладывают похищенную информацию в свободный доступ. В отличие от многих других группировок вымогателей, в LAPSUS$ не занимаются шифрованием данных взломанных организаций, а фокусируются именно на угрозах утечки в случае неуплаты выкупа.

Среди известных жертв LAPSUS$ — Nvidia, Samsung и Ubisoft. Кроме того, недавно они опубликовали 37 Гбайт кода, предположительно имеющего отношение к внутренним проектам Microsoft.

Как оставаться в безопасности?

На данный момент невозможно говорить со стопроцентной уверенностью, что инцидент действительно был. Сама по себе публикация скриншотов — достаточно странный ход, который может иметь целью самопиар хакеров, атаку на репутацию Okta или же попытку скрыть реальный метод, с помощью которого LAPSUS$ получили доступ к кому-то из клиентов Okta.

На данный момент наши эксперты рекомендуют клиентам Okta следующее:

• начните собенно тщательно мониторить всю сетевую активность и в первую очередь активность, связанную с аутентификацией во внутренних системах компании;
• проведите сотрудникам тренинги по цифровой гигиене и объясните им, кому и как они могут сообщить о подозрительной активности в случае ее обнаружения;
• проведите аудит безопасности IT-инфраструктуры компании, чтобы выявить возможные проблемы и уязвимости;
• ограничьте доступ к инструментам удаленного управления с внешних IP-адресов;
• убедитесь в том, что интерфейсы удаленного управления доступны только для ограниченного числа конечных точек;
• ограничьте права сотрудников по умолчанию и выдавайте повышенные привилегии только в тех случаях, когда они действительно нужны для выполнения сотрудниками их работы;
• в автоматизированных системах управления используйте специализированные средства для мониторинга трафика, анализа и обнаружения угроз.

Компании, не имеющие возможностей или ресурсов для самостоятельного мониторинга подозрительной активности в инфраструктуре, могут воспользоваться услугами сторонних экспертов.