Violazione Uber 2022: Rileva l’attacco informatico distruttivo che causa il completo controllo del sistema dell’organizzazione

[post-views]
Settembre 19, 2022 · 4 min di lettura
Violazione Uber 2022: Rileva l’attacco informatico distruttivo che causa il completo controllo del sistema dell’organizzazione

Il 15 settembre, Uber ha ufficialmente confermato un attacco che ha portato a una violazione della sicurezza informatica a livello organizzativo. Secondo l’indagine sulla sicurezza, il sistema dell’organizzazione è stato gravemente hackerato, con gli attaccanti che si sono mossi lateralmente per ottenere accesso all’infrastruttura critica della compagnia. L’incidente di sicurezza informatica è venuto alla ribalta dopo che un giovane hacker, che ha affermato di aver violato i sistemi di Uber, ha condiviso rapporti di vulnerabilità e screenshot delle risorse critiche dell’organizzazione, incluso un dashboard email e il server Slack. Queste informazioni sensibili sono state divulgate pubblicamente sulla piattaforma bug bounty HackerOne.

I rapporti di vulnerabilità di HackerOne confermano che l’avversario ha violato la rete interna del sistema, impattando la console di Amazon Web Services, le macchine virtuali VMware vSphere/ESXi e il dashboard admin di Google Workspace.

Rileva attività malevole correlate alla violazione di Uber del 2022

Regole Sigma sviluppate dagli sviluppatori di SOC Prime aiutano i professionisti della sicurezza a garantire che il loro sistema possa resistere ad attacchi che coinvolgono errori relativi all’MFA.

Okta Possibile MFA/2FA Flooding/Spamming/Phishing (via user_auth)

Azure Possibile MFA/2FA Flooding/Spamming/Phishing (via azuread)

I pezzi di contenuto di rilevamento sopra sono allineati al framework MITRE ATT&CK®. I professionisti della sicurezza possono facilmente passare tra più formati SIEM, EDR e XDR per ottenere il codice sorgente della regola applicabile a 26 soluzioni di sicurezza.

La piattaforma Detection as Code di SOC Prime cura un set di regole Sigma per identificare il comportamento malevolo relativo a quest’ultima violazione di Uber. Clicca il Esplora Rilevamenti pulsante qui sotto per accedere istantaneamente a rilevamenti dedicati e immergersi nel contesto rilevante della minaccia informatica senza registrazione direttamente dal motore di ricerca delle minacce informatiche.

Esplora Rilevamenti  

Analisi della violazione di Uber 2022

Basandosi su report di notizie riguardanti la violazione dei sistemi di Uber, l’attaccante ha manipolato uno dei dipendenti della compagnia affinché condividesse la propria password, il che ha permesso l’accesso iniziale al bersaglio. L’hacker criminale ha poi proceduto con il lancio di attacchi di affaticamento MFA e compromettendo un account Slack di un lavoratore per inviare un messaggio annunciando agli altri dipendenti che la loro azienda aveva subito una violazione dei dati. In risposta, Uber ha limitato l’accesso a Slack per le comunicazioni interne. Tra gli altri servizi compromessi ci sono Google Cloud Platform, OneLogin, il portale di risposta agli incidenti SentinelOne e AWS.

Diversi ricercatori di sicurezza hanno già affermato che la violazione è una “compromissione totale della sicurezza” che potrebbe anche portare l’attaccante a pubblicare online il codice sorgente della compagnia nonostante i rappresentanti del colosso tecnologico stiano cercando di “spegnere l’incendio” iniziato sui canali mediatici. La posizione della compagnia di ride hailing con sede a San Francisco sulla questione è diversa dalla narrativa espressa dai non-analisti di sicurezza di Uber, affermando principalmente che non ci sono prove che suggeriscano che l’attore della minaccia abbia avuto accesso ai dati sensibili.

Prima dell’incidente, i log raccolti dagli infostealer sono stati messi in vendita nel mercato sotterraneo. Gli infostealer che sono stati utilizzati in questi attacchi contro i dipendenti di Uber erano Raccoon and Vidar. Le prove suggeriscono che l’attaccante ha utilizzato i dati acquisiti per muoversi lateralmente all’interno della rete di Uber.

Le motivazioni dell’attore della minaccia devono ancora essere rivelate, ma il suo messaggio condiviso in un canale su Slack di Uber include una richiesta di migliore paga per i conducenti. I rappresentanti di Uber non hanno rilasciato ulteriori aggiornamenti pubblicamente, affermando che l’incidente è attualmente sotto indagine.

Le tecniche di ingegneria sociale sono in aumento. Questo attacco rispecchia solo la recente tendenza dei hacker criminali ad accumulare approcci più sofisticati per sfruttare il fattore umano nei loro attacchi. I tempi drastici richiedono misure drastiche! Unisci le forze con SOC Prime per migliorare le tue capacità di rilevamento delle minacce e la postura di sicurezza con la potenza di una comunità globale di esperti di sicurezza informatica. Puoi anche arricchire l’esperienza collaborativa contribuendo alla iniziativa di crowdsourcing di SOC Prime. Sviluppa e inviaci le tue regole Sigma e YARA, falle pubblicare su una piattaforma e ricevi ricompense ricorrenti per il tuo contributo.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Accedi alla Funzionalità di Uncoder AI tramite API
Blog, Piattaforma SOC Prime — 2 min di lettura
Accedi alla Funzionalità di Uncoder AI tramite API
Steven Edwards
Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI
Blog, Piattaforma SOC Prime — 2 min di lettura
Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI
Steven Edwards
Editor di Codice per Rilevamento Comodo per Uncoder AI
Blog, Piattaforma SOC Prime — 3 min di lettura
Editor di Codice per Rilevamento Comodo per Uncoder AI
Steven Edwards