Un investigador de seguridad independiente identificado como Bill Demirkapi ha compartido una cronología detallada de los acontecimientos acaecidos cuando la famosa banda de extorsión LAPSUS$ se adentró en un proveedor externo vinculado al incidente cibernético de Okta a finales de enero de 2022.
En un conjunto de capturas de pantalla publicadas en Twitter, Demirkapi filtró una cronología detallada de la intrusión, de dos páginas, supuestamente preparada por Mandiant, la empresa de ciberseguridad contratada por Sitel para investigar la brecha de seguridad. Sitel es el proveedor externo que se encarga de dar soporte a los clientes en nombre de Okta.
Sitel reveló la semana pasada que el 20 de enero fue alertado de que se había añadido “un nuevo factor” a la cuenta de su ingeniero de atención al cliente que prestaba servicio a Okta, un intento que, según dijo, había sido bloqueado.
El incidente no salió a la luz hasta dos meses después, el 22 de marzo, cuando LAPSUS$ publicó capturas de pantalla en su canal de Telegram como prueba de la brecha.
Las actividades maliciosas, que dieron al atacante acceso a casi 366 clientes de Okta, se produjeron en un periodo de cinco días entre el 16 y el 21 de enero, durante el cual los hackers llevaron a cabo diferentes fases del ataque, incluyendo la escalada de privilegios después de obtener un punto de apoyo inicial, manteniendo la persistencia, el movimiento lateral y el reconocimiento interno de la red.
Okta afirma que sólo recibió un informe resumido sobre el incidente de Sitel el 17 de marzo. Posteriormente, el 22 de marzo, el mismo día que el grupo criminal compartió las capturas de pantalla, la empresa afectada obtuvo una copia del informe completo de la investigación.
“Incluso cuando Okta recibió el informe de Mandiant en marzo detallando explícitamente el ataque, siguieron ignorando los signos obvios de que su entorno había sido violado hasta que LAPSUS$ puso de manifiesto su inacción”, escribió Demirkapi en un hilo de Twitter.
LAPSUS$ utilizó herramientas disponibles públicamente descargadas de GitHub para facilitar su ataque, según el informe de Mandiant, incluyendo Mimikatz – una herramienta popular para cosechar credenciales en máquinas Windows.
LAPSUS$ pudo simplemente descargar Mimikatz, que se ha utilizado en ciberataques de alto perfil como NotPetya, desde su página oficial de GitHub y ejecutarlo después de desactivar la protección de puntos finales de FireEye.
La compañía con sede en San Francisco, en un detallado FAQ publicado el 25 de marzo, reconoció que su falta de notificación a sus usuarios sobre la violación en enero fue un “error.”
“A la luz de las pruebas que hemos reunido en la última semana, está claro que habríamos tomado una decisión diferente si hubiéramos estado en posesión de todos los hechos que tenemos hoy”, dijo Okta.
