UBER HAS BEEN HACKED, boasts hacker – how to stop it happening to you – Naked Security
Nach allem, und leider gibt es viele von ihnen, ein Hacker – in der brechen-und-dringen-sie-illegal-in-ihr-netzwerk ein Sinn, nicht in a Löse-super-hard-coding-probleme-auf-funky-weise Sinn – ist in den Mitfahrdienst Uber eingebrochen.
Laut einem Bericht der BBC soll der Hacker erst 18 Jahre alt gewesen sein und den Angriff offenbar aus dem gleichen Grund durchgezogen haben, der den berühmten britischen Bergsteiger George Mallory dazu gebracht hat, es weiter zu versuchen (und schließlich im Attentat zu sterben). Versuch), den Mount Everest in den 1920er Jahren zu besteigen …
…“weil es da ist.”
Uber hat verständlicherweise bisher nicht viel mehr gesagt [2022-09-16T15:45Z] als zu bekannt geben auf Twitter:
Wir reagieren derzeit auf einen Cybersicherheitsvorfall. Wir stehen in Kontakt mit den Strafverfolgungsbehörden und werden hier weitere Updates veröffentlichen, sobald sie verfügbar sind.
— Uber Comms (@Uber_Comms) 16.09.2022
Wie viel wissen wir bisher?
Wenn das Ausmaß des Eindringens so groß ist, wie der mutmaßliche Hacker basierend auf den Screenshots, die wir auf Twitter gesehen haben, vorgeschlagen hat, sind wir nicht überrascht, dass Uber noch keine spezifischen Informationen angeboten hat, insbesondere angesichts der Tatsache, dass die Strafverfolgungsbehörden dies tun an der Untersuchung beteiligt.
Bei der Forensik von Cybervorfällen steckt der Teufel wirklich im Detail.
Dennoch scheinen öffentlich verfügbare Daten, die angeblich vom Hacker selbst veröffentlicht und weit verbreitet wurden, darauf hinzudeuten, dass dieser Hack zwei zugrunde liegende Ursachen hatte, die wir mit einer mittelalterlichen Analogie beschreiben werden.
Der Eindringling:
- Einen Insider dazu gebracht, sie in den Hof zu lassen, oder Vorburg. Das ist der Bereich innerhalb der äußersten Burgmauer, aber getrennt vom am besten verteidigten Teil.
- Unbeaufsichtigte Details gefunden, die erklären, wie man auf die Festung zugreift, oder motte. Wie der Name schon sagt, die behalten ist die zentrale Verteidigungsfestung einer traditionellen mittelalterlichen europäischen Burg.
Der erste Einbruch
Der Fachjargon dafür, sich in den Schlosshof des 21. Jahrhunderts einzuschleichen, lautet soziale Entwicklung.
Wie wir alle wissen, gibt es viele Möglichkeiten, wie Angreifer mit Zeit, Geduld und der Gabe des Geschwätzes selbst einen gut informierten und wohlmeinenden Benutzer davon überzeugen können, ihnen zu helfen, die Sicherheitsprozesse zu umgehen, die sie abhalten sollen.
Automatisierte oder halbautomatische Social-Engineering-Tricks umfassen E-Mail- und IM-basierte Phishing-Betrügereien.
Diese Betrügereien verleiten Benutzer dazu, ihre Anmeldedaten, oft sogar einschließlich ihrer 2FA-Codes, auf gefälschten Websites einzugeben, die wie das echte Geschäft aussehen, den Angreifern jedoch tatsächlich die erforderlichen Zugangscodes liefern.
Bei einem bereits eingeloggten und damit vorübergehend für seine aktuelle Sitzung authentifizierten Benutzer können Angreifer versuchen, an sogenannte Cookies oder Access Tokens auf dem Computer des Benutzers zu gelangen.
Durch das Einschleusen von Malware, die beispielsweise bestehende Sitzungen kapert, können sich Angreifer lange genug als legitimer Benutzer ausgeben, um vollständig zu übernehmen, ohne dass die üblichen Anmeldeinformationen erforderlich sind, die der Benutzer selbst benötigt, um sich von Grund auf neu anzumelden:
Und wenn alles andere fehlschlägt – oder vielleicht sogar anstatt die oben beschriebenen mechanischen Methoden auszuprobieren – können die Angreifer einfach einen Benutzer anrufen und ihn bezaubern, oder ihn beschwatzen, betteln, bestechen oder schmeicheln oder ihn stattdessen bedrohen, je nachdem, wie das Gespräch entfaltet sich.
Geschickte Social Engineers sind oft in der Lage, wohlmeinende Benutzer davon zu überzeugen, die Tür nicht nur überhaupt zu öffnen, sondern sie auch offen zu halten, um den Angreifern den Zutritt zu erleichtern und vielleicht sogar die Taschen des Angreifers zu tragen und zu tragen Zeigen Sie ihnen, wohin sie als nächstes gehen sollen.
So wurde der berüchtigte Twitter-Hack von 2020 durchgeführt, bei dem 45 Twitter-Konten mit blauer Flagge, darunter die von Bill Gates, Elon Musk und Apple, übernommen und zur Förderung eines Kryptowährungsbetrugs verwendet wurden.
Dieses Hacking war weniger technisch als kulturell und wurde von Support-Mitarbeitern durchgeführt, die sich so sehr bemühten, das Richtige zu tun, dass sie am Ende genau das Gegenteil taten:
Voller Kompromiss
Der Fachausdruck für das Betreten des Bergfrieds vom Hof (oder in die motte von dem Vorburgum die traditionellen Begriffe zu verwenden) ist Erhebung von Privilegien.
Typischerweise suchen und nutzen Angreifer bewusst intern bekannte Sicherheitslücken, obwohl sie keine Möglichkeit finden, diese von außen auszunutzen, weil die Verteidiger sich die Mühe gemacht haben, sich am Netzwerkrand dagegen zu schützen.
In einer kürzlich von uns veröffentlichten Umfrage zu Einbrüchen, die das Sophos Rapid Response-Team im Jahr 2021 untersuchte, stellten wir beispielsweise fest, dass die Kriminellen bei nur 15 % der anfänglichen Einbrüche – bei denen die Angreifer über die Außenmauer und in den Burghof gelangen – dazu in der Lage waren Einbruch mit RDP.
(RDP ist die Abkürzung für Remote-Desktop-Protokollund es handelt sich um eine weit verbreitete Windows-Komponente, mit der Benutzer X remote auf Computer Y arbeiten kann, wobei Y häufig ein Server ist, der keinen eigenen Bildschirm und keine eigene Tastatur hat und sich möglicherweise drei Stockwerke unter der Erde in einem Serverraum befindet , oder weltweit in einem Cloud-Rechenzentrum.)
Aber bei 80 % der Angriffe nutzten die Kriminellen RDP, sobald sie drinnen waren, um fast nach Belieben durch das Netzwerk zu wandern:
Ebenso besorgniserregend ist, dass, wenn keine Ransomware im Spiel war (weil ein Ransomware-Angriff sofort offensichtlich macht, dass Sie verletzt wurden!), die mittlere durchschnittliche Zeit, die die Kriminellen unbemerkt durch das Netzwerk streiften, 34 Tage betrug – mehr als ein Kalendermonat:
Der Uber-Vorfall
Wir sind uns noch nicht sicher, wie das anfängliche Social Engineering (im Hackerjargon zu SE abgekürzt) durchgeführt wurde, aber der Bedrohungsforscher Bill Demirkapi hat es getan einen Screenshot getwittert das scheint zu enthüllen (wobei genaue Details redigiert wurden), wie die Erhöhung der Privilegien erreicht wurde.
Anscheinend, obwohl der Hacker als normaler Benutzer gestartet war und daher nur Zugriff auf ausgewählte Teile des Innenhofs und überhaupt keinen Zugriff auf den Bergfried der Burg hatte …
… ein bisschen Herumirren und Schnüffeln auf ungeschützten Freigaben im Netzwerk ergab ein offenes Netzwerkverzeichnis, das eine Reihe von PowerShell-Skripten enthielt …
…dazu gehörten fest codierte Zugangsdaten für den Admin-Zugriff auf ein Produkt, das im Fachjargon als PAM, kurz für, bekannt ist Privileged Access Manager.
Wie der Name schon sagt, handelt es sich bei einem PAM um ein System, mit dem Anmeldeinformationen für alle (oder zumindest viele) andere Produkte und Dienste einer Organisation verwaltet und der Zugriff darauf kontrolliert werden.
Kurz gesagt, der Angreifer, der wahrscheinlich mit einem bescheidenen und vielleicht sehr begrenzten Benutzerkonto begann, stolperte über ein ueber-ueber-Passwort, das viele der ueber-Passwörter der globalen IT-Operationen von Uber freischaltete.
Wir sind nicht sicher, wie weit der Hacker roamen konnte, nachdem er die PAM-Datenbank geöffnet hatte, aber Twitter-Postings aus zahlreichen Quellen deuten darauf hin, dass der Angreifer in der Lage war, in einen Großteil der IT-Infrastruktur von Uber einzudringen.
Der Hacker hat angeblich Daten abgelegt, um zu zeigen, dass er auf mindestens die folgenden Geschäftssysteme zugegriffen hatte: Slack Workspaces; Die Bedrohungsschutzsoftware von Uber (oftmals noch salopp als Virenschutz); eine AWS-Konsole; Reise- und Speseninformationen des Unternehmens (einschließlich Mitarbeiternamen); eine virtuelle vSphere-Serverkonsole; eine Auflistung von Google Workspaces; und sogar Ubers eigener Bug-Bounty-Service.
(Anscheinend und ironischerweise war der Bug-Bounty-Dienst, wo der Hacker lautstark in Großbuchstaben prahlte, wie in der Überschrift gezeigt wird UBER WURDE GEHACKT.)
Was zu tun ist?
Es ist leicht, in diesem Fall mit dem Finger auf Uber zu zeigen und zu implizieren, dass dieser Verstoß als viel schlimmer als die meisten anderen angesehen werden sollte, einfach wegen der lauten und sehr öffentlichen Natur des Ganzen.
Aber die unglückliche Wahrheit ist, dass viele, wenn nicht die meisten modernen Cyberangriffe dazu führten, dass die Angreifer genau diesen Grad an Zugriff erhielten …
… oder zumindest potenziell diese Zugriffsebene zu haben, auch wenn sie letztendlich nicht überall herumstocherten, wo sie haben könnten.
Schließlich stellen viele Ransomware-Angriffe heutzutage nicht den Anfang, sondern das Ende eines Eindringens dar, das wahrscheinlich Tage oder Wochen gedauert hat und möglicherweise Monate gedauert hat Systemadministrator in der Firma, in die sie eingedrungen waren.
Aus diesem Grund sind Ransomware-Angriffe oft so verheerend – denn zum Zeitpunkt des Angriffs gibt es nur wenige Laptops, Server oder Dienste, auf die die Kriminellen keinen Zugriff erpresst haben, sodass sie fast buchstäblich in der Lage sind, alles zu verschlüsseln.
Mit anderen Worten, was Uber in diesem Fall passiert zu sein scheint, ist keine neue oder einzigartige Geschichte von Datenschutzverletzungen.
Hier sind einige zum Nachdenken anregende Tipps, die Sie als Ausgangspunkt verwenden können, um die allgemeine Sicherheit in Ihrem eigenen Netzwerk zu verbessern:
- Passwort-Manager und 2FA sind kein Allheilmittel. Die Verwendung gut gewählter Passwörter verhindert, dass Betrüger hineinraten, und 2FA-Sicherheit basierend auf Einmalcodes oder Hardware-Zugriffstoken (normalerweise kleine USB- oder NFC-Dongles, die ein Benutzer mit sich führen muss) erschweren die Dinge, oft viel schwieriger, denn Angreifer. Aber gegen die heutigen sog Von Menschen geführte Angriffewo sich „aktive Gegner“ persönlich und direkt in das Eindringen einmischen, müssen Sie Ihren Benutzern helfen, ihr allgemeines Online-Verhalten zu ändern, damit sie weniger wahrscheinlich dazu überredet werden, Verfahren zu umgehen, unabhängig davon, wie umfassend und komplex diese Verfahren sein mögen.
- Sicherheit gehört überall im Netzwerk, nicht nur am Rand. Heutzutage benötigen sehr viele Benutzer Zugang zu zumindest einem Teil dessen, was tatsächlich der Hofbereich Ihres Schlosses ist – Mitarbeiter, Auftragnehmer, Zeitarbeitskräfte, Sicherheitspersonal, Lieferanten, Partner, Reinigungskräfte, Kunden und mehr. Wenn es sich lohnt, eine Sicherheitseinstellung an Ihrem Netzwerkperimeter zu verschärfen, dann muss sie mit ziemlicher Sicherheit auch „innerhalb“ verschärft werden. Dies gilt insbesondere für das Patchen. Wie wir bei Naked Security gerne sagen, „Frühzeitig patchen, oft patchen, überall patchen.“
- Messen und testen Sie Ihre Cybersicherheit regelmäßig. Gehen Sie niemals davon aus, dass die Vorsichtsmaßnahmen, die Sie getroffen zu haben glaubten, wirklich funktionieren. Gehen Sie nicht davon aus; immer überprüfen. Denken Sie auch daran, dass Ihre Vorsichtsmaßnahmen regelmäßig überprüft werden müssen, da ständig neue Tools, Techniken und Verfahren für Cyberangriffe auftauchen. In einfachen Worten, „Cybersicherheit ist eine Reise, kein Ziel.“
- Ziehe in Erwägung, dir Hilfe von Experten zu holen. Die Anmeldung für einen Managed Detection and Response (MDR)-Dienst ist kein Eingeständnis eines Fehlers oder ein Zeichen dafür, dass Sie Cybersicherheit selbst nicht verstehen. MDR ist keine Aufhebung Ihrer Verantwortung – es ist einfach eine Möglichkeit, engagierte Experten zur Seite zu haben, wenn Sie sie wirklich brauchen. MDR bedeutet auch, dass Ihre eigenen Mitarbeiter im Falle eines Angriffs nicht alles fallen lassen müssen, was sie gerade tun (einschließlich regelmäßiger Aufgaben, die für die Kontinuität Ihres Unternehmens von entscheidender Bedeutung sind) und somit möglicherweise andere Sicherheitslücken offen lassen.
- Verfolgen Sie einen Zero-Trust-Ansatz. Zero-Trust bedeutet nicht wörtlich, dass Sie niemandem vertrauen, etwas zu tun. Es ist eine Metapher für „keine Annahmen machen“ und „niemals jemanden dazu autorisieren, mehr zu tun, als er unbedingt benötigt“. Zero-Trust Network Access (ZTNA)-Produkte funktionieren nicht wie herkömmliche Netzwerksicherheitstools wie VPNs. Ein VPN bietet im Allgemeinen eine sichere Möglichkeit für jemanden außerhalb des Schlosses, allgemeinen Zugang zum gesamten Hofbereich zu erhalten, wonach er oft viel mehr Freiheit genießt, als er wirklich braucht, und ihm erlaubt, herumzulaufen, herumzuschnüffeln und nach den Schlüsseln zum Schloss zu suchen Rest des Schlosses. Der Zero-Trust-Zugriff verfolgt einen viel granulareren Ansatz. Wenn Sie also nur die neueste interne Preisliste durchsuchen müssen, erhalten Sie diesen Zugriff. Sie haben auch nicht das Recht, in Support-Foren zu wandern, Verkaufsunterlagen zu durchsuchen oder Ihre Nase in die Quellcode-Datenbank zu stecken.
- Richten Sie eine Cybersecurity-Hotline für Mitarbeiter ein, falls Sie noch keine haben. Machen Sie es jedem leicht, Cybersicherheitsprobleme zu melden. Egal, ob es sich um einen verdächtigen Telefonanruf, einen unwahrscheinlichen E-Mail-Anhang oder auch nur um eine Datei handelt, die wahrscheinlich nicht im Netzwerk vorhanden sein sollte, haben Sie einen einzigen Ansprechpartner (z
securityreport@yourbiz.example
), sodass Ihre Kollegen schnell und einfach anrufen können. - Gib niemals Menschen auf. Technologie allein kann nicht alle Ihre Cybersicherheitsprobleme lösen. Wenn Sie Ihre Mitarbeiter mit Respekt behandeln und wenn Sie die Cybersicherheitseinstellung einnehmen „Es gibt keine dumme Frage, nur eine dumme Antwort“dann können Sie jeden in der Organisation zu Augen und Ohren Ihres Sicherheitsteams machen.
Besuchen Sie uns vom 26. bis 29. September 2022 zur diesjährigen Sophos Security SOS Week:
Vier kurze, aber spannende Gespräche mit Weltexperten.
Erfahren Sie mehr über Schutz, Erkennung und Reaktion,
und wie Sie Ihr eigenes erfolgreiches SecOps-Team aufbauen: