LastPass ha rivelato i dettagli del doppio data breach. Dal primo i cyber criminali hanno ottenuto credenziali valide, da riutilizzare in un nuovo attacco successivo. Infatti hanno sfruttato le informazioni per sferrare un secondo data breach con cui accedere al cloud storage di Amazon AWS contenente i dati degli utenti.
“Le nuove evidenze pubblicate da LastPass in merito all’attacco subito”, commenta Marco Govoni, consulente IT e Cyber Security per aziende, “fanno emergere innanzitutto la trasparenza dell’azienda, che a distanza di mesi ha continuato ad aggiornare il pubblico con dettagli importanti sull’incidente, pratica questa non comune“.
Tuttavia “l’evento fornisce una conferma piuttosto ovvia di quanto gli attaccanti siano motivati per accedere ai loro obiettivi”, aggiunge Paolo Passeri, Cyber Intelligence Principal di Netskope, “e come, soprattutto in presenza di servizi cloud, le implicazioni di un attacco possano esporre le organizzazioni a rischi continui in mancanza di un processo continuo di verifica della sicurezza”. Ecco i dettagli.
Indice degli argomenti
LastPass: i dettagli sul secondo data breach
LastPass ha pubblicato quanto ha scoperto riguardo alla seconda violazione dei propri sistemi a ottobre, dopo il data breach dello scorso agosto. I nuovi dettagli fanno luce sulla modalità con cui i cyber criminali hanno operato.
“In questo caso l’obiettivo dell’azienda”, spiega Marco Govoni, “è quello di contenere i danni relativi alla reputation, particolarmente importante quando chi è colpito vende servizi di sicurezza, come LastPass. Inoltre, da quanto emerge è possibile constatare come l’attacco sembra essere iniziato colpendo un dipendente mentre operava da remoto ed in particolare con un software che molto probabilmente non aveva a che fare con le attività lavorative (si parla di un lettore multimediale)”, sottolinea Govoni.
L’azienda del password manager, infatti, a dicembre aveva dovuto ammettere che il data breach di agosto aveva colpito anche gli archivi con le credenziali degli utenti.
I cyber criminali, a ottobre, hanno poi sfruttato le informazioni trafugate nel precedente attacco.
Attraverso un data breach di terze parti e sfruttando la falla di un software multimediale, i cybercriminali hanno ottenuto l’accesso al cloud storage che archiviava i dati degli utenti.
Lo schema di attacco
“In questo caso”, infatti, secondo Paolo Passeri, “gli attaccanti hanno utilizzato credenziali valide, sottratte dal precedente incidente informatico subito da LastPass ad agosto 2022 (dove un servizio di cloud storage era stato ugualmente violato) per accedere alle risorse cifrate contenute nel bucket S3 prima che il team dell’organizzazione riuscisse ad effettuare il reset“.
Nel dettaglio, la software house ha rilevato l’installazione di un keylogger nel computer di un ingegnere, sfruttando una falla di un software multimediale, non reso noto da Last Pass, ma che, secondo Ars Technica, sarebbe Plex.
Con questa modalità, gli attori criminali hanno potuto rubare le password dal Pc personale dell’ingegnere. La vittima infatti aveva a disposizione le credenziali di login con cui accedere al servizio di cloud storage AWS S3. “Lo sfruttamento di una vulnerabilità di un componente software media di terze parti, installato nel computer di casa dell’ingegnere DevOps vittima dell’attacco, computer evidentemente utilizzato per accedere al cloud storage aziendale, ha fatto il resto”, spiega Paolo Passeri, consentendo all’attaccante di sottrarre la master password e in definitiva di accedere al corporate vault contenente le chiavi necessarie a decifrare il contenuto del bucket”. L’intercettazione della master password ha permesso ai criminal hacker di accedere all’archivio della chiave utile per accedere ai backup su AWS S3.
Due mesi di intrusioni
Le intrusioni sarebbero durate due mesi, in cui i cyber criminali avrebbero ottenuto una mole enorme di dati, compresi quelli degli utenti, facendosi beffe delle misure di sicurezza implementate nel frattempo da LastPass.
Come proteggersi
I dettagli resi noti del doppio attacco confermano che le aziende devono avere presente il perimetro d’attacco e fare monitoraggio continuo. L’incidente infatti “conferma ancora una volta come oggi il perimetro delle aziende sia esteso, ‘liquido’, e di conseguenza la superficie di attacco ancora più difficile da monitorare: se a questo scenario aggiungiamo il fattore umano, il gioco è fatto”, conclude Govoni.
La sicurezza dei dispositivi personali è fondamentale quanto quella aziendale: mantenere aggiornati i sistemi operativi, software e app è la priorità.
“Il successo di questo attacco conferma infatti i rischi connessi all’accesso di risorse cloud dell’organizzazione da dispositivi personali”, mette in guardia Paolo Passeri, “dispositivi in cui potrebbe non essere presente un adeguato livello di sicurezza: come, per esempio, la presenza di software vulnerabile non necessario per le funzioni aziendali, o anche un livello di patching non adeguato di componenti del sistema operativo o software client”.
Inoltre, autenticazione multi-fattore e approccio zero trust servono per evitare il furto di credenziali.
“Uno dei vantaggi del cloud”, illustra Passeri, “consiste nel consentire un accesso ubiquo, ma questo vantaggio aumenta la superficie di attacco in mancanza di ulteriori contromisure, come per esempio l’autenticazione multi-fattore, il controllo di accesso granulare e adattivo alla risorsa, con verifica preventiva del livello di sicurezza e di gestione del dispositivo secondo un paradigma zero trust, nonché il monitoraggio continuo delle connessioni alla ricerca di anomalie”.
“In questo caso il rapporto dell’incidente ha indicato come l’organizzazione vittima non si sia accorta da subito dell’accesso malevolo, in quanto l’attaccante ha utilizzato credenziali valide per accedere al cloud storage, fatto che ha reso complicato, durante l’investigazione, differenziare il traffico ostile dell’attaccante, da quello lecito della vittima”, conclude Passeri.
