Wyciek danych LastPass z perspektywy piramidy bólu

W ostatnich miesiącach eksperci ds. cyberbezpieczeństwa szeroko komentowali szczegóły dotyczące naruszenia bezpieczeństwa LastPass. Pojawiły się zarówno opinie dotyczące niezbędnych kroków naprawczych dla klientów, jak i zasłużona krytyka dotycząca sposobu komunikacji o incydencie. W publicznym dyskursie zabrakło rozmowy na temat wskaźników, które można wyłuskać z różnych komunikatów LastPass. Eksperci Vectra AI podjęli się zadania, by nakreślić najważniejsze informacje zawarte w komunikatach LastPass i wyliczyć wskaźniki ataku, jednocześnie inicjując dyskusję wokół piramidy bólu.

Piramida bólu dla wskaźników w chmurze

Piramida bólu to model koncepcyjny ułatwiający klasyfikację skuteczności zastosowanych metod kontroli. Po raz pierwszy opisany przez Davida Bianco w 2013 roku, "ból" odnosi się do trudności, jakie kontrola bezpieczeństwa przysporzy przeciwnikowi. Przesuwając się w górę piramidy, zwiększa się ból odczuwany przez atakującego zmuszonego do dostosowania się i unikania wykrycia przez obrońcę. Piramida bólu pokazuje, że nie wszystkie wskaźniki ataku (a więc i możliwości detekcji) są sobie równe. 

Analiza komunikacji LastPass

Wyodrębnijmy fragmenty informacji z publicznych komunikatów LastPass - zwracając szczególną uwagę na wskaźniki ataku, których celem były dane przechowywane w chmurze. 

– Chociaż w tych komunikatach jest wiele ciekawych informacji dotyczących postawy ochronnej i obronnej LastPass, w Vectra AI skupiliśmy się na ujawnieniu możliwych zachowań wykazywanych przez atakującego – mówi Christian Putz, Country Manager w Vectra AI.

Pierwszy incydent: kradzież repozytoriów źródłowych i dokumentacji technicznej.

„Atakujący korzystał z usług VPN firm trzecich, do zatuszowania źródła swojej aktywności podczas uzyskiwania dostępu do rozwojowego środowiska programistycznego znajdującego się w chmurze i wykorzystywał ten dostęp do podszywania się pod inżyniera oprogramowania. Korzystając z tego podejścia, był w stanie „przeskoczyć” do środowiska programistycznego na żądanie za pośrednictwem naszej korporacyjnej sieci VPN, a także dedykowanego połączenia ze środowiskiem programistycznym w chmurze. Zrobili to, polegając na pomyślnym uwierzytelnieniu inżyniera oprogramowania za pomocą poświadczeń domeny i usługi MFA. Nie wykryto eskalacji uprawnień, która nie była potrzebna.”

• Oznacza to, że oparte na chmurze środowisko programistyczne miało łączność hybrydową i było dostępne dla użytkowników uwierzytelnionych w domenie w ramach korporacyjnej przestrzeni adresów IP.
• Wszelkie kontrole wykrywające ukierunkowane na nietypowe lub znane niechciane adresy IP prawdopodobnie przeoczyłyby cyberprzestępcę korzystającego z korporacyjnej sieci VPN, gdy ruch pochodził z punktu końcowego inżyniera oprogramowania, jednak jeśli połączenie nie zostało nawiązane poza stacją roboczą, można było wprowadzić kontrole zapobiegające lub wykrywające nietypowe połączenie VPN.

Drugi incydent: kradzież kopii zapasowych klientów zawierających zaszyfrowane i niezaszyfrowane dane, seed haseł jednorazowych i prywatne klucze API używane w integracjach z produktami innych firm.

„Ze względu na kontrole bezpieczeństwa chroniące i zabezpieczające instalacje w lokalnych produkcyjnych centrach danych LastPass, celem cyberprzestępcy stał się jeden z czterech inżynierów DevOps, którzy mieli dostęp do kluczy deszyfrujących potrzebnych do uzyskania dostępu do usług przechowywania danych w chmurze”.

• Autorzy raportu zdają się wskazywać, że atakujący wybrał jako swój cel dane przechowywane w chmurze zamiast danych lokalnych ze względu na mniej rygorystyczne mechanizmy bezpieczeństwa.
• Jeśli klucz dostępu AWS był potrzebny do uzyskania dostępu do zasobów pamięci masowej w chmurze i ten dostęp ostatecznie się powiódł, możemy wnioskować, że użytkownik IAM został przejęty i wykorzystany do uzyskania dostępu do obiektów przechowywanych w S3, ponieważ to jedyne IAM Principal, któremu można przypisać klucze dostępu.
• Biorąc pod uwagę, że dane, do których uzyskano dostęp, to kopie zapasowe w chmurze, możemy przypuszczać, że wykradziona tożsamość była wykorzystywana w sytuacji odzyskiwania danych po awarii.
• LastPass potwierdza, że cyberprzestępca uzyskał dostęp do danych kopii zapasowych, co zgłoszono w poprzednich komunikatach, przechowywanych w AWS S3. 

Możemy wykorzystać te informacje do omówienia możliwych wskaźników naruszenia bezpieczeństwa, jakie atakujący mógł po sobie zostawić.

Atak na LastPass: możliwości wykrywania i reagowania w chmurze

Biorąc pod uwagę to, co wiemy o wartości różnych wskaźników, w jaki sposób możemy zmapować możliwe wskaźniki naruszenia LastPass na piramidę bólu?

Wskaźniki stosunkowo "bezbolesne”

• Dostęp do Cloud API z nietypowych lokalizacji, co skutkuje wykryciem nieprawdopodobnych źródeł zapytań.
→ Jest mało prawdopodobne, że pierwszy incydent zostałby wykryty, jeśli szukano by tego wskaźnika, ale możliwe, że drugi incydent mógł wygenerować pewne sygnały.

Wskaźniki środka piramidy

• Aktywność rozpoznawcza
→ Po uzyskaniu dostępu do prawidłowych poświadczeń osoba atakująca mogła wykorzystać API w chmurze, aby wyliczyć swoje uprawnienia i/lub wyświetlić i opisać obiekty S3. Jednak podczas pierwszego incydentu skradziono dużą ilość dokumentacji technicznej. Całkiem możliwe, że wszystkie wymagane informacje zostały zawarte w tej dokumentacji, a atakujący nie musiał wykonywać dalszych czynności rozpoznawczych w chmurze.

Wskaźniki wierzchołka piramidy

• Przemieszczanie obiektów S3 do podejrzanego miejsca docelowego
  → Dane zostały przeniesione z autoryzowanych repozytoriów danych hostowanych w chmurze do lokalizacji kontrolowanych przez atakujących. Taki transfer danych jest okazją do wykrycia wynikającego z przenoszenia danych do nieznanych, niezaufanych lub zewnętrznych lokalizacji.
• Dostęp do dużej ilości obiektów S3
  → Z komunikacji LastPass możemy wywnioskować, że duże ilości danych zostały przesłane korzystając z szybkości i skali API AWS Cloud. Dostęp do dużej ilości danych jest wskaźnikiem, który znajduje się na szczycie piramidy bólu i jest sygnałem do wykrycia podejrzanego pobierania danych.

Istnieje kilka wskaźników złamania zabezpieczeń, które można dostrzec na podstawie naruszenia LastPass i zmapować na wszystkich poziomach piramidy bólu. Chociaż zapewnienie wykrywania na wszystkich poziomach ma swoją wartość, ważne jest, aby zdawać sobie sprawę, że przebieg zdarzeń może być różny. Wykrywanie dostępu do chmury z nieznanych lub niezaufanych źródłowych adresów IP dla atakującego będzie łatwe do uniknięcia, podczas gdy wykrywanie TTP podejrzanego ruchu danych i dostępu do danych jest prawdopodobniej najbardziej wypróbowaną i pewną metodologią wykrywania ataku.

Źródło: vectra.ai