Менеджер паролей LastPass раскрыл дополнительную информацию об уже “второй скоординированной атаке” за последние месяцы, когда злоумышленники получили доступ и украли данные с серверов облачного хранилища Amazon AWS.
В декабре прошлого года LastPass сообщил об уязвимости, когда злоумышленники украли частично зашифрованные данные хранилища паролей и информацию о клиентах. Теперь компания раскрыла, как именно злоумышленники выполнили эту атаку.
По данным LastPass, хакеры использовали информацию, украденную в результате взлома в августе. Тогда они получили доступ к компьютеру старшего DevOps-инженера. Поскольку только четыре DevOps-инженера LastPass имели доступ к необходимым ключам дешифрования , злоумышленники нацелились на одного из них. В конечном итоге хакеры успешно установили кейлоггер на устройство одного из сотрудников, воспользовавшись уязвимостью удаленного выполнения кода в стороннем пакете мультимедийного программного обеспечения.
“Злоумышленники смогли перехватить мастер-пароль сотрудника по мере его ввода после того, как сотрудник прошел аутентификацию с помощью MFA, а затем получили доступ к корпоративному DevOps-хранилищу LastPass”, – говорится в недавно опубликованном отчёте LastPass.
Использование действительных учетных данных довольно сильно затруднило обнаружение действий злоумышленников, что позволило им без всякой спешки украсть данные с серверов облачного хранилища LastPass. Как сообщается, системный доступ был у хакеров более двух месяцев, с 12 августа 2022 года по 26 октября 2022 года.
В конечном итоге LastPass обнаружил аномальное поведение с помощью предупреждений AWS GuardDuty, когда злоумышленник попытался использовать роли Cloud Identity and Access Management (IAM) для выполнения несанкционированных действий.
Компания заявляет, что с тех пор она обновила свою систему безопасности, включая ротацию конфиденциальных учётных данных и ключей аутентификации, отозвала сертификаты, добавила дополнительные журналы предупреждений, а также применила более строгие политики безопасности.
Также специалисты LastPass выпустили PDF-файл , содержащий всю информацию о самом взломе и украденных данных, и составили рекомендации, повышающие безопасность учётных записей LastPass, для обычных клиентов сервиса и бизнес-администраторов LastPass . Рекомендуем ознакомиться, если вы являетесь клиентом сервиса.