Компания Uber поделилась подробностями о недавнем взломе. Специалисты считают, что хакер, стоявший за этой атакой, связан с вымогательской группой Lapsus$ , которая «прославилась» серией взломов крупных компаний. В начале текущего года эти пар­ни шан­тажиро­вали Nvidia, слили исходные коды Ubisoft, Microsoft и Samsung, и ском­про­мети­рова­ли Okta.

Напомню, что компанию Uber взломали на прошлой неделе. Злоумышленник охотно поделился со СМИ скриншотами внутренних систем компании. Судя по ним, он получил полный доступ ко многим критически важным системам Uber, включая защитное ПО компании и домен Windows. Также взломщик добрался до консоли Amazon Web Services, виртуальных машин VMware vSphere/ESXi, панели администратора электронной почты Google Workspace и сервера Slack, на котором публиковал сообщения, и bug bounty программе компании на HackerOne.

Журналистам ряда изданий удалось пообщаться со взломщиком, и тот заявил, что ему всего 18 лет, и он взломал Uber, используя социальную инженерию, так как «у компании слабая безопасность».

Как теперь сообщают в Uber, расследование случившегося, приводящееся совместно с ФБР и Министерством юстиции США, еще продолжается, но оно уже дало определенные результаты. Так, стало известно, что хакер скомпрометировал аккаунт внешнего подрядчика Uber, буквально взяв того измором. Кстати, именно так описывал свою атаку сам взломщик.

«Вероятно, злоумышленник приобрел корпоративный пароль подрядчика Uber в даркнете, после того как личное устройство подрядчика было заражено вредоносным ПО, раскрывающим учетные данные. Затем злоумышленник неоднократно пытался войти в его учетную запись. Каждый раз подрядчик получал запрос на подтверждение входа посредством двухфакторной аутентификации, которая первоначально блокировала доступ. Однако, в конце концов, подрядчик принял запрос, и злоумышленник успешно вошел в систему», — сообщают в компании.

После этого злоумышленник получил доступ к «нескольким другим учетным записям сотрудников», через них повысил свои привилегии и добрался до G-Suite и Slack. Затем он разместил сообщение в общекорпоративном канале Slack и перенастроил OpenDNS Uber, чтобы показывать сотрудникам на некоторых внутренних сайтах «графическое изображение».

Компания добавляет, что не обнаружила никаких доказательств того, что хакер мог получить доступ к производственным системам, где хранится конфиденциальная информация о клиентах, водителях и пользователях, включая личные и финансовые данные (например, номера банковских карт, информация о банковских счетах, личные данные о здоровье или истории поездок).

Однако, подтвердилась компрометация других систем, включая bug bounty программу на HackerOne, хотя в Uber заявляют, что хакер получил доступ лишь к баг-репортам об уже исправленных уязвимостях.

«Мы проверили кодовую базу и не обнаружили, чтобы злоумышленник вносил в нее какие-либо изменения. Мы также не обнаружили, что злоумышленник получил доступ к каким-либо данным клиентов или пользователей, хранящимся у наших облачных провайдеров (например, AWS S3). Похоже, атакующий загрузил некоторые внутренние сообщения Slack, а также получил доступ или загрузил информацию из внутреннего инструмента, который наша финансовая команда использует для управления счетами. В настоящее время мы анализируем эти скачивания», — также гласит отчет.

Разработчики Uber уверяют, что после случившегося приняли меры, направленные на улучшение безопасности компании. В частности, добавили средства для дополнительного мониторинга внутренней среды, чтобы тщательнее следить за любой дальнейшей подозрительной активностью.

И самое интересное: ответственность за эту атаку в Uber возлагают на участника хак-группы Lapsus$, о которой мы писали не раз. Напомню, что весной 2022 года, после череды громких атак на Nvidia, Samsung, Microsoft и Okta, полиция Лон­дона арестовала семь человек в воз­расте от 16 лет до 21 года «в свя­зи с рас­сле­дова­нием деятель­нос­ти хакер­ской груп­пы».

В нас­тоящее вре­мя все они находят­ся под следс­тви­ем, а двум подросткам предъявлены обвинения. Эти арес­ты сов­пали с объ­явле­нием о том, что нес­коль­ко чле­нов Lapsus$ на вре­мя ухо­дят в отпуск, и тех пор активность группы практически сошла на нет.

Похоже, в Uber считают, что правоохранительные органы нашли далеко не всех участников Lapsus$.

Еще один интересный факт: в начале текущей недели от взлома также пострадала Rockstar Games. В результате в сеть попали десятки роликов с геймплеем грядущей GTA VI, а также у компании были похищены исходные коды. Взломавший компанию хакер, известный под никами teapots2022 и teapotuberhacker, заявил, что именно он скомпрометировал Uber. Хотя доказательств этому пока по-прежнему нет, этот факт Uber так же упоминает в своем отчете.

Источник: xakep