Создателя знаменитого мессенджера паролей 1Password попытались взломать по сложной схеме

Взлом Okta привел к неприятностям сразу у нескольких других компаний, тем или иным образом обеспечивающих защиту данных. Атака на 1Password, однако, оставляет больше вопросов, чем ответов.

Каскад

Поставщик популярного менеджера паролей для бизнеса, компания 1Password, объявила, что взлом систем одного из ее партнеров, компании Okta, затронул и ее собственную инфраструктуру.

В минувшую пятницу представители Okta проинформировали общественность о кибератаке на ее систему управления поддержки клиентов. Атаку произвели, вероятнее всего, с помощью украденных реквизитов доступа.

В Okta сообщили, что злоумышленнику (или злоумышленникам) удалось добраться до файлов, загруженных некоторыми клиентами Okta, в частности до токенов сессий и cookies.

В фирме подчеркнули, что системы техподдержки изолированы от основных систем, так что основная деятельность фирмы - а она оказывает услуги по управлению идентификацией персонала, - не пострадала.

Фото: 1Password
1Password пострадал от взлома Okta

Зато пострадали клиенты Okta: о связанных инцидентах объявили не только 1Password, но и CloudFlare, и компания BeyondTrust, которая и проинформировала Okta об инциденте.

Что за шевеление

В публикации 1Password говорится, что 29 сентября 2023 г. сотрудник ИТ-подразделения получил неожиданное сообщение в почте, где говорилось о том, что он или она запустили формирование технического отчета с именами всех администраторов в локальной среде Okta (чьими услугами пользуется 1Password). Такого отчета сотрудник не запрашивал, поэтому сразу поднял по тревоге специалистов отдела реагирования на инциденты. Быстро обнаружился подозрительный IP-адрес, и вскоре стало окончательно понятно, что в локальную среду Okta влез злоумышленник - уже с административными привилегиями.

Злоумышленник попытался получить доступ к панели управления пользователями для всего ИТ-отдела, но эту попытку заблокировали системы Okta.

Тогда хакер попытался модифицировать службу идентификации Okta, привязанную к локальной производственной среде Google, запустил ее и запросил список пользователей с административными полномочиями. На этом его и подловили.

После общения со службой поддержки Okta, стало ясно, что инцидент обладал большим сходством с уже известной кампании, в рамках которой злоумышленники компрометировали административные аккаунты и с их помощью пытались манипулировать процессом авторизации через системы Okta, чтобы в итоге выдавать себя за работников целевой организации и осуществлять от их лица вредоносную деятельность.

Суть в том, что при обращениях за поддержкой в Okta работники компаний-клиентов (обычно это сетевые администраторы) выгружают на портал техподдержки файлы HAR, которые содержат данные обо всем трафике между браузером клиента (файл HAR формируется через Chrome Dev Tools) и серверами Okta. А кроме трафика, этот файл содержит и конфиденциальную информацию, в частности, файлы cookies, относящиеся к каждой сессии. Специалисты Okta используют их для пошагового воссоздания активности администратора клиента. Но в случае, если такие файлы попадают в руки злоумышленникам, все может закончиться довольно скверно.

И именно это, вероятно, и произошло и в случае с 1Password, и ранее в инцидентах с компаниями BeyondTrust и Cloudflare. Злоумышленники просочились в их системы, используя cookies, выкранные из системы техподдержки Okta и содержавшие авторизационные данные.

Хотя и к этой версии есть вопросы.

Что-то не сходится

По утверждению представителей Okta, в их логах нет информации о том, что кто-либо получал доступ к HAR-файлу, загруженному сотрудником 1Password, до инцидента в системах этой фирмы.

В 1Password, в свою очередь, заявляют, что после случившегося старые реквизиты доступа работника, использовавшиеся в атаке, были отозваны и обновлены, а настройки в службах локальной среды Okta изменены таким образом, чтобы вход был возможен только с использованием ее служб идентификации. Кроме того, срок сессии административных пользователей был уменьшен, для администраторов были введены новые, более жесткие правила многофакторной авторизации, а численность суперадминистраторов была сокращена.

Эксперт по информационной безопасности компании SEQ Михаил Зайцев считает, что ситуация выглядит спорной во многих отношениях, для начала нужно обратить внимание на тот факт, что неясно как злоумышленники попали в системы Okta. «Во-вторых, публикации фирмы лишь вскользь упоминаются украденные реквизиты доступа, и не до конца ясно, где и как они были похищены. Неясность с атакой на 1Password тоже добавляет вопросов», - продолжает Михаил Зайцев. Он рассказал, что Okta не впервые оказывается в положении пострадавшего от кибератаки. «Только за прошлый год было четыре скандальных инцидента, а для фирмы, являющейся игроком на рынке информационной защиты, это многовато», - подытожил Михаил Зайцев.

Разъяснений со стороны 1Password пока не поступало.