Violation d’Uber 2022 : Détecter l’attaque cybernétique destructrice entraînant la prise de contrôle totale du système de l’organisation
Table des matières :
Le 15 septembre, Uber a officiellement confirmé une attaque entraînant une violation de cybersécurité à l’échelle de l’organisation. Selon l’enquête de sécurité, le système de l’organisation a été gravement piraté, les attaquants se déplaçant latéralement pour accéder à l’infrastructure critique de l’entreprise. L’incident de cybersécurité a été mis en lumière après qu’un jeune pirate, qui a affirmé avoir pénétré les systèmes d’Uber, a partagé des rapports de vulnérabilité et des captures d’écran des actifs critiques de l’organisation, y compris un tableau de bord de messagerie et le serveur Slack. Ces informations sensibles ont été divulguées publiquement sur la plateforme de Bug Bounty HackerOne.
Les rapports de vulnérabilité de HackerOne confirment que l’adversaire a pénétré le réseau interne du système, affectant la console Amazon Web Services, les machines virtuelles VMware vSphere/ESXi et le tableau de bord d’administration de Google Workspace.
Détecter l’activité malveillante liée à la violation d’Uber 2022
règles Sigma développées par les développeurs de SOC Prime aident les professionnels de la sécurité à s’assurer que leur système peut résister à des attaques impliquant des échecs liés à la MFA.
Okta Possible MFA/2FA Inondation/Spamming/Phishing (via user_auth)
Azure Possible MFA/2FA Inondation/Spamming/Phishing (via azuread)
Les éléments de contenu de détection ci-dessus sont alignés avec le cadre MITRE ATT&CK®. Les praticiens de la sécurité peuvent facilement passer entre plusieurs formats SIEM, EDR et XDR pour obtenir le code source des règles applicable à 26 solutions de sécurité.
La plateforme Detection as Code de SOC Prime propose un ensemble de règles Sigma pour identifier le comportement malveillant lié à cette dernière violation d’Uber. Cliquez sur le Explorer les détections bouton ci-dessous pour accéder instantanément à des détections dédiées et plonger dans un contexte de cybermenace pertinent sans inscription directement depuis le moteur de recherche de menaces cyber.
Analyse de la violation d’Uber 2022
Basé sur des reportages concernant la violation des systèmes d’Uber, l’attaquant a manipulé l’un des employés de l’entreprise pour qu’il partage son mot de passe, ce qui a permis l’accès initial à la cible. Le pirate criminel a ensuite lancé des attaques de fatigue MFA et compromis le compte Slack d’un employé pour envoyer un message annonçant aux autres employés que leur entreprise avait subi une violation de données. En réponse, Uber a restreint l’accès à Slack pour les communications internes. Parmi les autres services compromis figurent Google Cloud Platform, OneLogin, le portail de réponse aux incidents SentinelOne et AWS.
Plusieurs chercheurs en sécurité ont déjà qualifié la violation de « compromission totale de la sécurité » qui pourrait également entraîner la publication du code source de l’entreprise en ligne malgré les tentatives des représentants du géant technologique pour « éteindre l’incendie » qui a commencé sur les chaînes médiatiques. La position de l’entreprise de covoiturage basée à San Francisco sur la question diffère du récit exprimé par les analystes de sécurité non affiliés à Uber, affirmant principalement qu’il n’y a aucune preuve suggérant que l’acteur menaçant a accédé à des données sensibles.
Avant l’incident, les journaux recueillis à partir d’ infostealers ont été mis en vente sur le marché clandestin. Les infostealers utilisés dans ces attaques contre les employés d’Uber étaient Raccoon and Vidar. Les preuves suggèrent que l’attaquant a utilisé les données acquises pour se déplacer latéralement à l’intérieur du réseau d’Uber.
Les motivations de l’acteur menaçant restent à révéler, mais son message partagé dans un canal sur le Slack d’Uber comprend une demande pour une meilleure rémunération des conducteurs. Les représentants d’Uber n’ont pas publié d’autres mises à jour publiquement, affirmant que l’incident est actuellement en cours d’enquête.
Les techniques d’ingénierie sociale sont en hausse. Cette attaque ne fait que refléter la tendance récente des pirates criminels à accumuler des approches plus sophistiquées pour exploiter le facteur humain dans leurs attaques. Des temps difficiles appellent des mesures drastiques ! Joignez vos forces à celles de SOC Prime pour renforcer vos capacités de détection de menaces et votre posture de sécurité grâce à la puissance d’une communauté mondiale d’experts en cybersécurité. Vous pouvez également enrichir l’expertise collaborative en contribuant à l’initiative de crowdsourcing de SOC Prime. Développez et soumettez vos règles Sigma et YARA, faites-les publier sur une plateforme, et recevez des récompenses récurrentes pour votre contribution.
