MADRID, 2 Mar. (Portaltic/EP) -
LastPass ha confirmado que los ciberdelincuentes pudieron acceder a su bóveda corporativa o de uso interno después de haber robado las credenciales necesarias para conocer su contenido a uno de sus ingenieros de DevOps.
El gestor de contraseñas 'online' informó a finales del pasado mes de agosto de un incidente de seguridad por el que un actor tercero accedió al entorno de desarrollo de la plataforma, momento en que señaló que aquello no había afectado a los datos guardados por otros usuarios.
Tras dar comienzo a una investigación interna para dar con el origen de este robo, concluyó que el hackeo que la actividad de los actores de amenazas en su bóveda de contraseñas encriptadas se limitó al entorno de desarrollo.
Entonces, LastPass también comentó que la actividad de este grupo de ciberdelincuente registrada en el gestor de contraseñas se limitaba a un período de cuatro días y reiteró que los usuarios no se habrían visto afectados por este problema. sin embargo, en octubre, acabó reconociendo que esa brecha se saldó con el robo de datos encriptados incluidos en las bóvedas de sus clientes.
La compañía ha seguido investigando este incidente en los últimos meses y ha avanzado nuevas conclusiones sobre sus pesquisas. Una de ellas guarda relación con el modo en que los ciberdelincuentes lograron acceder a su bóveda corporativa.
Así, ha confirmado que los actores de amenazas "pudieron aprovechar las credenciales válidas robadas de un ingeniero senior de DevOps para acceder a un entorno de almacenamiento en la nube compartido", según ha indicado en su blog.
LastPass ha reconocido que este método empleado "dificultó a los investigadores diferenciar entre la actividad del actor de amenazas y la actividad legítima en curso". Sin embargo, las alertas del sistema AWS GuardDuty advirtieron un comportamiento anómalo cuando los ciberdelincuentes intentaron "utilizar las funciones de administración de identidad y acceso (IAM) de la nube para realizar actividades no autorizadas".
Concretamente, estos solicitaban acceso para los depósitos S3, protegidos con cifrados como AWS S3-SSE, AWS S3-KMS y AWS S3-SSE-C. Para ello, solicitó creenciales de acceso de AWS y LastPass.
El gestor de contraseñas ha recordado que, tal y como se dijo en un primer momento, los actores de amenazas robaron ciertas credenciales de LastPass, pero que no se pudieron utilizar porque estaban cifradas.
Para solventar este sistema de seguridad y acceder al servicio de almacenamiento en la nube, los atacantes apuntaron a uno de los cuatro ingenieros de DevOps. Desde su equipo doméstico explotaron un paquete de 'software' de medios de terceros que "habilitaba la capacidad de ejecución remota" y gracias al cual tenían la oportunidad de implantar el 'malware' 'keylogger'.
De ese modo, los ciberdelincuentes pudieron monitorizar los movimientos del ingeniero de DevOps y recoger datos tras su autenticación en dos pasos (MFA, por sus siglas en inglés). Una vez dentro de su usuario, exportaron los archivos de la bóveda corporativa nativa, así como carpetas contenedoras de archivo cifradas y otros recursos de almacenamiento basados en la nube.
Finalmente, LastPass ha explicado cuáles han sido los pasos que ha seguido para proteger dicha cuenta y restringir el acceso de los actores de amenazas a la bóveda de contraseñas de la víctima de este ataque.
Tras tomar imágenes forenses y recopilar evidencias de la actividad potencial de los estafadores, habilitó una autenticación multifactorial de coincidencia de PIN de acceso condicional de Microsoft, rotó credenciales críticas y de alto privilegio y analizó sus recursos de almacenamiento basados en la nube de LastPass AWS S3.
Otra de las medidas de subsanación implementadas fueron la revisión y eliminación de certificados de lenguaje de marcado para confirmaciones de seguridad (SAML). Asimismo, LastPass ha insistido en que desarrolla y habilita análisis personalizados capaces de detectar el abuso continuo de los recursos de AWS.