Новые подробности взлома Uber: ответственный за атаку киберпреступник связан с группировкой Lapsus$

Uber считает, что взломавший их системы хакер связан с группировкой Lapsus$, о которой мы знаем благодаря громким атакам на Microsoft, Cisco, Samsung, Nvidia, Okta и свежему сливу геймплейных роликов GTA 6.

В своем блоге Uber заявила, что активно проводит расследование, работая с несколькими ведущими фирмами в области цифровой криминалистики. Компания планирует воспользоваться этим, чтобы укрепить свои системы для защиты от будущих атак. Кроме того, Uber начала активно искать ИБ-специалистов по всей территории США.

В ходе расследования компания выяснила, что хакер взломал подрядчика Uber EXT. Скорее всего, злоумышленник приобрел пароли от учетных записей сотрудников в дарвебе. Двухфакторная защита не помогла – один из сотрудников по неизвестной причине принял запрос хакера.

После этого киберпреступник получил доступ к учетным записям нескольких других сотрудников и в конце концов получил повышенные права в G-Suite и Slack. Их было достаточно, чтобы разместить сообщение корпоративном Slack-канале и перенастроить OpenDNS Uber на показ графического изображения на некоторых внутренних сайтах компании.

Uber уже выявила скомпрометированные или потенциально скомпрометированные учетные записи сотрудников и либо заблокировала их доступ к Uber, либо потребовала сбросить пароль. Компания также отключила многие потенциально затронутые внутренние службы и заблокировала их кодовую базу.

По оценке Uber, хакер не смог получить доступ к средам разработки, учетным записям пользователей или базам данных, используемым для хранения конфиденциальной информации пользователей (данные кредитных карт, банковских счетов или истории поездок).