Włamanie do infrastruktury Ubera

16 września, 2022

Zespół PR firmy Uber opublikował na Twitterze informację o trwającej obsłudze incydentu bezpieczeństwa. Zdecydowanie nie jest to dokładny opis ataku, ale można znaleźć o nim wiele informacji z innych źródeł. Przede wszystkim została wykorzystana socjotechnika — atakujący w ten sposób uzyskał dostęp do firmowego VPN, czyli w praktyce do firmowej sieci wewnętrznej. W dalszym kroku przeprowadził rekonesans środowiska i odnalazł udostępniony udział sieciowy z interesującymi skryptami.

Uber włamanie telegram
Źródło: https://twitter.com/hacker_/status/1570582547415068672

Skrypty PowerShell często są wykorzystywane do automatyzacji działań. To świetny sposób na zarządzanie infrastrukturą, natomiast nigdy nie należy w ich kodzie umieszczać żadnych danych dostępowych (loginów, haseł, kluczy SSH, kodów OTP). W przypadku Ubera zadziałał najgorszy scenariusz, ponieważ w skrypcie znajdowały się dostępy administracyjne do rozwiązania Thycotic, które służy do zarządzania kontami  administracyjnymi (PAM). Po zalogowaniu można było uzyskać dostęp do innych usług, w tym do Slack oraz chmur AWS i GCP.

Uber hacked
Źródło: https://twitter.com/vxunderground/status/1570597582417821703

Nie wiadomo, czy doszło do wycieku informacji, w tym haseł użytkowników. Jest to niestety możliwe przy takiej skali ataku, dlatego warto zmienić hasło do konta Uber (i wszystkich innych serwisów, jeśli użyliśmy tego samego). Należy dodać, że pierwszy „objaw” ataku można było zauważyć w serwisie HackerOne — więc atakujący ma dostęp do całej historii zgłoszeń ewentualnych wykrytych podatności:

https://twitter.com/samwcyo/status/1570577801790783493

Ciekawostkę stanowi fakt, że wiadomość o ataku została wysłana przez „hakera” do pracowników na publicznym kanale Slack firmy. Jak jednak widać po reakcjach, zatrudnione osoby nie do końca uwierzyły w prawdziwość opisu sytuacji:

Uber Slack message

W rozmowie z dziennikarzami The New York Times, atakujący zaznaczył, że ma 18 lat i od kilku lat rozwija swoje umiejętności w dziedzinie bezpieczeństwa IT (to akurat bardzo dobrze, chociaż tę wiedzę można wykorzystać w legalny sposób). Stwierdził ponadto, że kierowcy Ubera powinni otrzymywać wyższe wynagrodzenia.

Opisywany atak miał prosty przebieg, ale jego skutki mogą być bardzo trudne do naprawienia. Pokazuje on jednak, jak duże znaczenie mają szkolenia pracowników pod kątem socjotechniki czy phishingu. Powinniśmy też pamiętać o zagrożeniach związanych z przechowywaniem jakichkolwiek poświadczeń w postaci plain-text.

Michał Giza

Michał Giza

Autor tekstów na portalu Fundacji AVLab dla Cyberbezpieczeństwa. Administrator systemów Linux i Windows Server. Zajmuje się także bezpieczeństwem sieci.
Michał Giza

Michał Giza

Autor tekstów na portalu Fundacji AVLab dla Cyberbezpieczeństwa. Administrator systemów Linux i Windows Server. Zajmuje się także bezpieczeństwem sieci.

PODZIEL SIĘ:

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]