黑客組織LAPSUS$日前公開了一些撮圖,聲稱拍自Okta的知訊系統內部,如果所言非虛,這意味著他們不但能進入公司網站,同時也能存取幾個其他內部系統,包括一些重要系統,而LAPSUS$自稱沒有盜取公司的資料,他們的目標是Okta的客戶。
甚麼是Okta和為甚麼資料外洩很危險?
Okta的業務是開發和維持身份和存取管理系統,尤其是提供single sign-on方案,很多大公司都有使用Okta的方案。卡巴斯基的專家相信,黑客存取Okta的系統能視作一定數量的知名公司資料外洩,而LAPSUS$已經對有關的行為承認責任。
網絡犯罪份子如何存取Okta的系統?
現時沒有確實證證據證明黑客真的取得系統存取,根據Okta的官方聲明,怹們的專家正進行調查,公司承諾在調查結束後盡早公佈結果。該撮圖可能與一月的事故有關,一名身份不明人士嘗試入侵技術支援技師的帳號,當時他正為第三方分包商提供服務。事後LAPSUS$公開對官方聲明作出回應,指控對方試圖淡化外洩事件的影響。
誰是LAPSUS$?
LAPSUS$在2020年因為入侵了巴西的衛生部系統而知名,據此推斷這個拉丁美洲的黑客組織從大公司盜取資料然後作出勒索,如果受害者拒紀支付贖金,黑客便會在互聯網公開盜取的資料。與其他加密勒索統織不同,LAPSUS$不會對被入侵的機構進行檔案加密,單純是不支付贖金便會資料外洩。
較知名的LAPSUS$受害者包括Nvidia、Samsung和Ubisoft,另外,他們發放了37 GB編碼,相信與Microsoft內部計劃有關連。
保持安全的方法
現時仍難以很肯定地說事件真的發生了,公開的撮圖本身也是奇怪的舉動,可能是黑各組織借Okta的名聲來推銷自己,又或者是隱藏存取Okta客戶的真正方法,卡巴斯基的專家建議Okta的客戶進行以下保安考量:
- 對網絡活動實施特別嚴格的監控,尤其與內部系統中的身份驗證相關的任何活動。
- 為員工提供額外的網絡安全培訓,讓他們提高警剔並匯報任何可疑活動。
- 對機構的IT基建進行審計,尋找有漏洞的系統。
- 限制從外部IP地址存取遙距管理工具
- 確保遙距管理界面只有少數裝置能夠存取
- 遵循有限權限的原則,只為員工提供完成工作所需的權限
- 使用ICS網絡流量監察、分析和偵測方案,提高防護免受可能威脅到技術流程和主要企業資產的攻擊
資料來源:Kaspersky Blog
