Externaliser une partie de son système d’information n’est pas toujours une bonne idée, surtout si le niveau de sécurité de l’entreprise tierce est médiocre. Le piratage d’Okta va probablement, de ce point de vue, devenir un cas d’école. On savait déjà que les hackers de Lapsus$ avaient pris pied dans la plate-forme par le biais de Sitel, un sous-traitant d’Okta. Le chercheur en sécurité Bill Demikapi vient maintenant de mettre la main sur un rapport de forensique que Sitel avait commandé à Mandiant, ainsi que sur la notification de compromission que l’entreprise a envoyée à ses clients et partenaires.
Cette notification a été partagée avec Wired et TechCrunch. Elle indique que l’accès initial des hackers s’est fait au travers d’une passerelle VPN de Sykes, une filiale acquise en 2021. Il est probable que les hackers aient réussi à voler les accès d’un utilisateur de ce service réseau. La suite des évènements se lit dans le rapport forensique que Bill Demikapi a publié sur Twitter. On découvre que c’était une vraie promenade de santé.
New documents for the Okta breach: I have obtained copies of the Mandiant report detailing the embarrassing Sitel/SYKES breach timeline and the methodology of the LAPSUS$ group. 1/N https://t.co/z05uQYclg9 pic.twitter.com/e0T4EdWPxT
— Bill Demirkapi (@BillDemirkapi) March 28, 2022
La première connexion s’est faite le 16 janvier et la dernière le 21 janvier. Entre les deux, les pirates ont procédé méthodiquement, étape par étape, mais sans vraiment s’embarrasser avec la sécurité opérationnelle. Ainsi, ils ont utilisé la connexion Internet des postes compromis pour télécharger, au fur et à mesure, les outils de piratage dont ils avaient besoin sur GitHub. Ils ont téléchargé et exécuté les logiciels Process Explorer et Process Hacker pour identifier le logiciel de sécurité local FireEye et le désactiver. Ils ont également téléchargé et exécuté le logiciel Mimikatz pour collecter des jetons d’authentification stockés en local et augmenter leurs privilèges d’accès. Ce qui leur permettait d’accéder à d’autres machines sur le réseau.
Sur l’une des machines — coup de bol — ils ont découvert une feuille Excel avec des mots de passe d’administrateurs ! Il s’agissait visiblement d’une exportation de données depuis le gestionnaire de mots de passe LastPass. Grâce à ces informations, les hackers ont visiblement été capables de créer en douce leur propre compte administrateur, auquel ils pourraient se connecter plus tard. En d’autres termes, c’était une backdoor. Le voyage s’est terminé sans accroc par la mise en place d’une règle de renvoi de certains comptes d’e-mails vers des comptes contrôlés par les pirates. C’est toujours bien d’être informés.
A découvrir aussi en vidéo :
À la vue de ces documents, Bill Demikapi met le doigt là où ça fait mal. Pourquoi Okta n’a pas immédiatement lancé une investigation en janvier ? Pourquoi il n’a même pas bougé après avoir eu le rapport forensique de Sitel en mars ? Pourquoi les clients de Sitel n’ont-ils pas été immédiatement informés ? Ces questions gênantes n’ont visiblement pas plu à Zoom, son employeur, qui lui a demandé de retirer ses tweets. Comme il n’a pas voulu se plier à cette exigence, il a été licencié.
Sources: Wired, TechCrunch
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
