366 Okta-klanten de dupe van cyberaanval LAPSUS$

RGB-keyboard dat oplicht in het donker met handen op het toetsenbord

Zeker 366 klanten van Okta zijn het slachtoffer geworden van de cyberaanval door hackersgroep LAPSUS$. Dat is nog niet de eindstand: het onderzoek naar de hack loopt nog. Mogelijk loopt het aantal slachtoffers nog op.

Dat bevestigt Todd McKinnon, de algemeen directeur van Okta, tegenover Bloomberg.

LAPSUS$ valt Okta aan via partner

LAPSUS$, ook wel bekend onder de noemer DEV-0537, is een internationale hackersgroep die de afgelopen maanden tal van slachtoffers heeft gemaakt. Onder meer NVIDIA, Samsung en Microsoft waren het doelwit van het hackerscollectief. Alles bij elkaar zouden de hackers honderden gigabytes aan vertrouwelijke gegevens hebben buitgemaakt. In het geval van Microsoft zouden de aanvallers delen van de broncode van onder meer zoekmachine Bing, spraakassistent Cortana en navigatieprogramma Bing Maps gestolen hebben.

Een andere grote onderneming die de dupe was van LAPSUS$, was Okta. Okta levert authenticatiesoftware aan ruim 15.000 klanten wereldwijd, waaronder Amazon en Apple. De hackers wisten op 21 januari het netwerk van Sitel binnen te dringen. Vervolgens slaagden ze erin om toegang te krijgen tot het netwerk van Okta.

Zeker 366 slachtoffers, mogelijk nog meer

Okta wachtte tot 22 maart met de bekendmaking van de hack, nadat leden van LAPSUS$ screenshots en afbeeldingen van de interne werkomgeving van Okta hadden gedeeld via Telegram. CEO Todd McKinnon vertelde maandag tegenover Bloomberg dat deze vertraging “onacceptabel” is. “De communicatie was niet zo helder als het had moeten zijn”, voegde de topman daaraan toe.

McKinnon zegt dat hij in januari nog geen idee had van de impact van de aanval. Pas op 22 maart wist hij naar eigen zeggen wat de hackers hadden veroorzaakt. Daarop is het bedrijf klanten direct gaan informeren. De technische impact voor klanten was volgens de directeur “bijna nul”. De samenwerking met Sitel is opgezegd. Gedupeerden krijgen een gedetailleerd verslag zodra het onderzoek naar de aanval is afgerond, belooft McKinnon.

Op de vraag hoeveel klanten de dupe zijn geworden van de aanval, zegt McKinnon dat het om zeker 366 klanten gaat. Dit aantal is nog niet definitief, zo benadrukt hij. Het onderzoek naar de aanval loopt nog. Mogelijk valt het aantal slachtoffers hoger uit.

Hackers gebruikten geen spreadsheet met wachtwoorden of ransomware

Om succesvol de interne werkomgeving van Okta binnen te dringen, zou LAPSUS$ een spreadsheet met wachtwoorden van Sitel hebben gebruikt. Op de servers van het klantenservicebedrijf vonden de hackers naar verluidt een document genaamd ‘DomAdmins-LastPass.xlsx’. Volgens de Amerikaanse techsite was dit een exportdocument van een LastPass-gebruiker die Sitel werkt. In een reactie vertelde Sitel dat er niets van deze lezing klopt.

“Deze ‘spreadsheet’ die in recente nieuwsartikelen wordt genoemd, bevatte slechts een lijst met accountnamen uit het verleden van Sykes, maar geen wachtwoorden. De enige verwijzing naar wachtwoorden in de spreadsheet was de datum waarop wachtwoorden voor iedere genoemde account waren gewijzigd; in deze spreadsheet waren geen wachtwoorden opgenomen. Dergelijke informatie is onnauwkeurig en misleidend en heeft niet bijgedragen aan het incident”, aldus Sitel.

Microsoft onderzocht de aanval en benadrukt dat LAPSUS$ geen ransomware gebruikte om het bedrijfsnetwerk van Sitel binnen te dringen. Met de buitgemaakte inloggegevens en sessietokens wisten de hackers in te breken in de computersystemen van het bedrijf.

De getroffen systemen werken meestal met een Virtual Private Network (VPN), Remote Desktop Protocol (RDP) of Virtual Desktop Infrastructure (VDI) van partijen als Citrix en Azure Active Directory. In enkele gevallen namen de daders het telefoonnummer van een medewerker over om zo tweefactorauthenticatie te omzeilen.

Britse politie arresteert meerdere tieners

Eind maart arresteerde de Britse politie zeven jongeren die mogelijk banden hadden met LAPSUS$. Eén van hen is een zestienjarige jongen. Hij zou het meesterbrein achter de hackaanvallen zijn. Twee van de aangehouden jongeren moesten zich afgelopen week verantwoorden voor hun acties in de rechtbank van Londen. Volgens de laatste berichten zitten de twee nog steeds vast.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen