Хакеры атаковали облачную платформу JumpCloud и похитили данные её клиентов

Хакеры атаковали облачную платформу JumpCloud и похитили данные её клиентов

Как целевой фишинг позволил злоумышленникам произвести узконаправленную атаку?

image

Компания JumpCloud, предоставляющая услуги управления идентификацией и доступом, сообщила на прошлой неделе о том, что в прошлом месяце стала жертвой нападения хакеров, поддерживаемых неизвестным государством. Злоумышленники использовали метод целевого фишинга, чтобы проникнуть в системы JumpCloud и похитить данные определённых клиентов.

JumpCloud утверждает, что угроза была ликвидирована, а вектор атаки, который злоумышленники использовали для «целевого воздействия на малую и конкретную группу» клиентов, уже был устранён. К сожалению, компания не сообщила, были ли похищены учётные данные клиентов и насколько масштабной получилась утечка.

«После обнаружения инцидента мы немедленно приняли меры в соответствии с нашим планом реагирования на инциденты, чтобы смягчить угрозу, обезопасить нашу сеть и периметр. Мы сразу связались с затронутыми клиентами и привлекли правоохранительные органы», — заявили представители JumpCloud. «Наша команда остаётся бдительной по отношению к новым угрозам, и мы уверены в наших людях и мерах безопасности».

Как сообщается, JumpCloud впервые обнаружила аномальную активность в своей внутренней системе управления 27 июня. Она связала её с нападением методом целевого фишинга, произошедшую за несколько дней до этого, 22 июня. Несмотря на отсутствие доказательств воздействия на клиентов в то время, JumpCloud изменила учётные данные, перенастроила инфраструктуру и предприняла дополнительные шаги для усиления безопасности своей сети.

Однако 5 июля компания заметила признаки воздействия на данные своих клиентов. Тогда компания провела внутреннее расследование и обнаружила злонамеренную активность во внутренней сети, в связи с чем сбросила API-ключи всех администраторов. Это потребовало от клиентов обновить все интеграции с третьими сторонами с помощью новых ключей.

Промежуток между вторжением и подтверждённым воздействием на клиентов свидетельствует о том, что злоумышленник имел доступ к системам JumpCloud почти две недели.

«Это сложные и настойчивые противники с продвинутыми возможностями», — заявил Боб Фан, главный специалист по информационной безопасности JumpCloud. «Продолжающийся анализ раскрыл главный вектор атаки: внедрение данных в нашу платформу команд. Анализ также подтвердил, что атака была чрезвычайно узконаправленной и ограниченной конкретными клиентами», — добавил Фан.

JumpCloud также поделилась известными индикаторами компрометации, чтобы помочь затронутым клиентам самостоятельно выявлять злонамеренную активность в своих сетях.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь