LastPass, azienda colpita da due violazioni di dati lo scorso anno, ha rivelato che i dati esfiltrati durante la prima intrusione, scoperta ad agosto, sono stati utilizzati per colpire il computer personale di casa di uno dei suoi ingegneri devops e lanciare un secondo attacco informatico di successo rilevato a novembre.

L’attore delle minacce coinvolto nelle violazioni ha infettato il computer di casa dell’ingegnere con un keylogger capace di registrare informazioni, che a loro volta hanno permesso di esfiltrare informazioni sensibili dai server di archiviazione cloud AWS dell’azienda, ha dichiarato LastPass in un aggiornamento sull’incidente. La prima intrusione si è conclusa il 12 agosto dello scorso anno e oggi LastPass afferma che l’attore della minaccia è stato attivamente impegnato in una nuova serie di attività di ricognizione, enumerazione ed esfiltrazione mirate all’ambiente di archiviazione cloud dell’azienda dal 12 agosto al 26 ottobre 2022.

“Le tattiche, le tecniche e le procedure (TTP) osservate, così come gli indicatori di compromissione (IOC) del secondo incidente non erano coerenti con quelli del primo. Sebbene siano vicini in termini di tempistica, inizialmente non era ovvio che i due incidenti fossero direttamente collegati”, ha dichiarato LastPass nel suo aggiornamento. L’azienda ha aggiunto che non ci sono state attività da parte dell’attore della minaccia dopo il 26 ottobre. Lo sviluppatore il cui computer di casa è stato infettato dal keylogger era uno dei soli quattro ingegneri devops dell’azienda che avevano accesso alle chiavi di decrittazione dei bucket Amazon S3 criptati.

Rubata la password principale

“L’attore delle minacce è stato in grado di ottenere la password principale mentre veniva inserita e di avere così accesso al caveau aziendale LastPass dell’ingegnere devops”, ha dichiarato l’azienda. L’attaccante ha poi esportato le voci del caveau aziendale e le cartelle condivise, che contenevano note sicure crittografate con le chiavi di accesso e decrittografia necessarie per accedere ai backup di produzione di LastPass su AWS S3 , ad altre risorse di archiviazione basate sul cloud e ad alcuni backup di database critici correlati.

lastpass

L’uso di credenziali valide ha reso difficile per gli investigatori dell’azienda individuare l’attività dell’attaccante. Nella prima intrusione, avvenuta ad agosto, è stato compromesso il laptop aziendale di un ingegnere software, consentendo all’attore della minaccia di accedere a un ambiente di sviluppo basato su cloud e di rubare codice sorgente, informazioni tecniche e alcuni segreti del sistema interno di LastPass, ha dichiarato Karim Toubba, CEO di LastPass. Durante questo incidente non sono stati rubati dati di clienti o di caveau, poiché LastPass non disponeva di dati di clienti o di caveau nell’ambiente di sviluppo.

Dati rubati usati per ottenere l’accesso nella seconda violazione

“Abbiamo dichiarato chiuso questo incidente, ma in seguito abbiamo appreso che le informazioni rubate nel primo incidente sono state utilizzate per identificare gli obiettivi e avviare il secondo attacco”, ha dichiarato Toubba. Durante il primo incidente, l’attore della minaccia è stato in grado di accedere a repository di sviluppo e codice sorgente on-demand basati su cloud di 14 su 200 repository di software.

L’attore ha avuto accesso anche agli script interni dei repository, che contenevano segreti aziendali e certificati, nonché alla documentazione interna, comprese le informazioni tecniche che descrivevano il funzionamento dell’ambiente di sviluppo. Nel secondo incidente, come già accennato, l’attaccante ha utilizzato le informazioni rubate nella prima intrusione per prendere di mira un ingegnere devops senior e sfruttare un software vulnerabile di terze parti per installare un keylogger.

L’attore ha così sfruttato le informazioni del malware keylogger, comprese le credenziali dell’ingegnere, per aggirare e infine ottenere l’accesso ai backup nel cloud con al loro interno dati di configurazione del sistema e dati dei clienti crittografati e non crittografati. L’attore ha inoltre avuto accesso a un backup del database dell’autenticazione multifattore (MFA) con i numeri di telefono utilizzati per il backup MFA. L’identità dell’autore dell’attacco e le sue motivazioni sono al momento sconosciute. Non ci sono stati infatti contatti o richieste e non sono state rilevate attività clandestine credibili che indichino che l’attore della minaccia sia attivamente impegnato nella commercializzazione o nella vendita delle informazioni ottenute durante i due incidenti.

Azioni di rimedio intraprese

LastPass ha adottato diverse misure per rafforzare la propria sicurezza in seguito agli incidenti. “Abbiamo investito una quantità significativa di tempo e di sforzi per rafforzare la nostra sicurezza e per migliorare le operazioni di sicurezza in generale”, ha dichiarato il CEO. Tra questi sforzi si segnalano l’assistenza agli ingegneri devops per rafforzare la sicurezza della loro rete domestica e delle loro risorse personali, la rotazione delle credenziali critiche e ad alto privilegio e l’abilitazione di analisi personalizzate in grado di rilevare l’abuso continuo delle risorse AWS.