MADRID, 24 Mar. (Portaltic/EP) -
Okta, una empresa que ofrece servicios de verificación de identidad y seguridad para terceras compañías, ha confirmado que el grupo de hackers LAPSUS$ aprovechó una brecha de seguridad para acceder a los datos de 366 clientes corporativos.
El pasado lunes LAPSUS$ publicó capturas de pantalla de las aplicaciones y sistemas de Okta a través de su cuenta de Telegram, donde anteriormente había compartido otras capturas en los que se atribuía el robo de datos de Microsoft, Nvidia y Samsung.
La compañía ha publicado una cronología de este robo y ha indicado que el 20 de enero de 2022 el equipo de seguridad de Okta recibió una alerta de que se había introducido un nuevo factor del sistema de autenticación (MFA) en la cuenta de uno de los trabajadores de Sitel, uno de los clientes de su cartera.
Este intento no se procesó con éxito de modo que, por precaución, Okta restableció la cuenta mediante Okta Service Desk y notificó a su cliente, que contrató servicios de investigación para analizar lo sucedido.
Esta firma encargada de investigar lo sucedido realizó un estudio del incidente desde entonces hasta el 28 de febrero de 2022. Finalmente, emitió un informe a Sitel con fecha de 10 de marzo de 2022.
No fue hasta el 17 de marzo de este año cuando Okta recibió el resumen de este informe sobre el incidente de Sitel. Sin embargo, cinco días más tarde, el 22 de marzo, LAPSUS$ compartió una serie de capturas en las que se atribuía el ataque.
Según Okta, en los informes recibidos por Sitel no estaban incluidas estas capturas que, tal y como ha afirmado, se hicieron desde el ordenador de un ingeniero de soporte de su cliente.
Cabe destacar que estos profesionales, que realizan la mayoría de sus trabajos medainte una aplicación interna llamada SuperUser (SU) tienen accesos específicos a diferentes herramientas e instancias de Okta, como Jira, Slack, Splunk, RingCentral o Salesforce.
Sin embargo, desde ellas no es posible llevar a cabo tareas de los súper administradores, como crear o eliminar usuarios o descargar bases de datos de clientes.
Concretamente, el grupo atacante habría tenido acceso al servidor de este equipo mediante Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés), lo que le habría permitido acceder a los recursos del dispositivo aprovechando una brecha de seguridad en el sistema.
"Aunque los atacantes nunca obtuvieron acceso al servicio de Okta mediante el control de la cuenta, un dispositivo que estaba conectado al servidor fue atacado y, desde este, fueron capaces de obtener capturas de pantalla", ha explicado la plataforma de soluciones de identidad.
Según el informe encargado por Sitel, el grupo de ciberdelincuentes habría accedido a este equipo durante cinco días, del 16 al 21 de enero de 2022.
Por su parte, Okta examinó todos los accesos que tuvieron lugar durante esos días por parte de los empleados de Sitel a la aplicación SuperUser.
Como resultado, ha comprobado que el impacto potencial máximo de clientes corporativos vulnerados fue de 366 (aproximadamente el 2,5 por ciento del total de su cartera de clientes), que a los cuales LAPSUS$ accedió a través de Sitel.
Por otra parte, según publicado Forbes, para acceder a estos clientes, los atacantes habrían utilizado el proveedor de soporte Sykes Enterprises, una delegación del grupo Sitel contratada por Okta para los servicios de atención al cliente de Costa Rica.
UN JOVEN BRITÁNICO, POSIBLE AUTOR INTELECTUAL DE LOS ATAQUES
Los investigadores que están rastreando los ataques perpetrados por LAPSUS$ han encontrado evidencias que apuntan a un joven de 16 años como posible autor de algunas acciones de este grupo.
Según ha publicado Bloomberg, los investigadores han identificado siete cuentas asociadas con el grupo de piratería, incluida una rastreada a otro adolescente en Brasil.
El joven británico, que vive en Oxford, Inglaterra, sería el autor intelectual de estos ataques, según otros ciberdelincuentes que habrían publicado datos personales de este particular.
De acuerdo con Bloomberg, este usuario se identificaría con alias como 'White' o 'breachbase' y tendría unas capacidades superiores para relizar estos ataques, puesto que los investigadores llegaron a pensar que se trataba de ataques automatizados.