Uber-Datenschutzverletzung 2022: Erkennen Sie den zerstörerischen Cyberangriff, der die vollständige Übernahme des Systems der gesamten Organisation verursacht

[post-views]
September 19, 2022 · 4 min zu lesen
Uber-Datenschutzverletzung 2022: Erkennen Sie den zerstörerischen Cyberangriff, der die vollständige Übernahme des Systems der gesamten Organisation verursacht

Am 15. September bestätigte Uber offiziell einen Angriff, der zu einer unternehmensweiten Sicherheitsverletzung führte. Laut der Sicherheitsuntersuchung wurde das System der Organisation schwer gehackt, wobei Angreifer seitlich vorgingen, um Zugriff auf die kritische Infrastruktur des Unternehmens zu erhalten. Der Sicherheitsvorfall geriet ins Rampenlicht, nachdem ein junger Hacker, der behauptete, Ubers Systeme geknackt zu haben, Schwachstellenberichte und Screenshots von den kritischen Assets der Organisation, einschließlich eines E-Mail-Dashboards und des Slack-Servers, teilte. Diese sensiblen Informationen wurden öffentlich auf der Bug-Bounty-Plattform HackerOne bekanntgegeben.

Die Schwachstellenberichte von HackerOne bestätigen, dass der Gegner das interne Netzwerk des Systems durchbrochen hat, was die Amazon Web Services-Konsole, VMware vSphere/ESXi-VMs und das Google Workspace-Admin-Dashboard betrifft.

Erkennung bösartiger Aktivitäten im Zusammenhang mit dem Uber-Breach 2022

Sigma-Regeln entwickelt von SOC Prime Entwicklern helfen Sicherheitsexperten sicherzustellen, dass ihre Systeme Angriffen mit MFA-bezogenen Ausfällen standhalten können.

Okta Mögliche MFA/2FA Flutung/Spamming/Phishing (via user_auth)

Azure Mögliche MFA/2FA Flutung/Spamming/Phishing (via azuread)

Die obigen Erkennungsinhalte sind mit dem MITRE ATT&CK® Frameworkausgerichtet. Sicherheitspraktiker können problemlos zwischen mehreren SIEM-, EDR- und XDR-Formaten wechseln, um den Regelquellcode zu erhalten, der für 26 Sicherheitslösungen anwendbar ist.

Die Detection as Code Plattform von SOC Prime kuratiert eine Reihe von Sigma-Regeln, um das bösartige Verhalten im Zusammenhang mit diesem neuesten Uber-Breach zu identifizieren. Klicken Sie auf den Entdeckungen erkunden Knopf unten, um sofort zu den dedizierten Erkennungen zu gelangen und ohne Registrierung direkt von der Cyber Threats-Suchmaschine in den relevanten Cyber-Bedrohungskontext einzutauchen.

Entdeckungen erkunden  

Uber-Breach 2022 Analyse

Basierend auf Nachrichtenberichten über den Angriff auf Ubers Systeme hat der Angreifer einen der Mitarbeiter des Unternehmens manipuliert, sein Passwort zu teilen, was den ersten Zugang zum Ziel ermöglichte. Der kriminelle Hacker setzte dann MFA-Fatigue-Angriffe ein und kompromittierte den Slack-Account eines Mitarbeiters, um eine Nachricht zu versenden, die anderen Mitarbeitern mitteilte, dass ihr Unternehmen einen Datenverstoß erlitten hatte. Als Reaktion darauf hat Uber den Zugriff auf Slack für die interne Kommunikation eingeschränkt. Zu den weiteren kompromittierten Diensten gehören Google Cloud Platform, OneLogin, das SentinelOne-Incident-Response-Portal und AWS.

Mehrere Sicherheitsforscher haben den Vorfall bereits als „vollständigen Sicherheitskompromiss“ bezeichnet, der möglicherweise auch dazu führt, dass der Angreifer den Quellcode des Unternehmens online veröffentlicht, obwohl die Vertreter des Tech-Giganten versuchen, das „Feuer zu löschen“, das in den Medien entfacht wurde. Die Haltung des in San Francisco ansässigen Fahrdienstanbieters zu der Angelegenheit unterscheidet sich von der Erzählung, die von Nicht-Uber-Sicherheitsanalysten geäußert wird. Hauptsächlich wird behauptet, dass es keine Beweise dafür gibt, dass der Bedrohungsakteur auf sensible Daten zugegriffen habe.

Vor dem Vorfall wurden Protokolle von Infostealern im Untergrundmarkt zum Verkauf angeboten. Die Infostealer, die bei diesen Angriffen gegen Uber-Mitarbeiter eingesetzt wurden, waren Raccoon and Vidar. Die Beweise deuten darauf hin, dass der Angreifer die erlangten Daten nutzte, um sich innerhalb des Uber-Netzwerks lateral zu bewegen.

Die Motive des Bedrohungsakteurs sind noch nicht bekannt, aber seine Nachricht, die in einem Kanal auf Ubers Slack geteilt wird, beinhaltet die Forderung nach besserer Bezahlung für Fahrer. Die Vertreter von Uber haben keine weiteren öffentlichen Updates veröffentlicht und angegeben, dass der Vorfall derzeit untersucht wird.

Social-Engineering-Techniken nehmen zu. Dieser Angriff spiegelt nur den jüngsten Trend wider, dass kriminelle Hacker immer ausgefeiltere Ansätze verfolgen, um den menschlichen Faktor in ihren Angriffen zu nutzen. Drastische Zeiten erfordern drastische Maßnahmen! Schließen Sie sich SOC Prime an, um Ihre Bedrohungserkennungsfähigkeiten und Ihre Sicherheitslage mit der Macht einer globalen Community von Cybersicherheitsexperten zu verbessern. Sie können auch die gemeinsame Expertise bereichern, indem Sie Beiträge zur Crowdsourcing-Initiative von SOC Primeleisten. Entwickeln und reichen Sie Ihre Sigma- und YARA-Regeln ein, lassen Sie sie auf einer Plattform veröffentlichen und erhalten Sie wiederkehrende Belohnungen für Ihren Beitrag.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Zugriff auf die Uncoder AI-Funktionalität über die API
Blog, SOC Prime Plattform — 2 min zu lesen
Zugriff auf die Uncoder AI-Funktionalität über die API
Steven Edwards
Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen
Blog, SOC Prime Plattform — 2 min zu lesen
Bedrohungserkennungs-Marktplatz von Uncoder AI durchsuchen
Steven Edwards
Praktischer Editor für Erkennungscode für Uncoder AI
Blog, SOC Prime Plattform — 2 min zu lesen
Praktischer Editor für Erkennungscode für Uncoder AI
Steven Edwards