روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ هکرهای متعلق به گروه LAPSUS$ اسکرین‌شات‌هایی را فرستادند که ظاهراً از داخل سیستم‌های اطلاعاتی Okta گرفته شده‌اند. اگر ادعاها صحت داشته باشند آن‌ها نه تنها به وبسایت این شرکت که حتی به تعدادی از سایر سیستم‌های داخلی نیز از جمله حیاتی‌ترین سیستم‌ها دسترسی دارند. LAPSUS$ ادعا می‌کند از خود این شرکت هیچ اطلاعاتی را سرقت نکرده و تارگت‌های اصلی‌‌اش عمدتاً مشتریان  Okta بوده است. با توجه به تاریخ اسکرین‌شات‌ها، مهاجمین اوایل ژانویه 2022 به این سیستم‌ها دسترسی پیدا کرده‌اند. با ما همراه شوید تا پیادمدهای احتمالی هک شرکت Okta را مورد بررسی قرار دهیم.

Okta چیست و چرا این نقض داده می‌تواند خطرناک باشد؟

Okta سیستم‌های مدیریت هویت و دسترسی را توسعه و حفظ می‌کند. به طور خاص، آنها یک راه حل ورود به سیستم را ارائه می‌دهند. تعداد زیادی از شرکت‌های بزرگ از راهکارهای Okta استفاده می‌کنند. کارشناسان آزمایشگاه کسپرسکی بر این باورند که دسترسی هکرها به سیستم‌های Okta می‌تواند تعدادی از نشت‌های اطلاعاتی نسبتاً بالا از شرکت‌های بزرگ را توضیح دهد؛ نشت‌هایی که هکرهای LAPSUS$  قبلاً مسئولیت آن را بر عهده گرفته‌اند.

چطور مجرمان سایبری به سیستم‌های Okta دسترس پیدا می‌کنند؟

در حال حاضر هیچ شواهدی دال بر اینکه هکرها چنین دسترسی‌ای پیدا کرده باشند وجود ندارد. طبق بیانیه رسمی شرکت Okta متخصصین آن در حال حاضر دارند بررسی‌ای را انجام می‌دهند و این شرکت قول داده است به محض تکمیل بررسی‌ها نتایج را به اشتراک بگذارد. این امکان نیز وجود دارد که اسکرین‌شات‌های نشرشده به رخداد ژانویه مربوط باشد؛ زمانیکه عاملی ناشناس سعی داشت حساب مهندس بخش پشتیبانی فنی را که برای یک پیمانکار طرف‌سوم کار می‌کرد دستکاری کند.

آپدیت 23 مارس 2022: LAPSUS$ پاسخ خود را به بیانیه رسمی اوکتا که در آن این شرکت را متهم به کم اهمیت جلوه دادن اثر این نقض کرده بود منتشر کرد.

گروه LAPSUS$ چیست و چه چیزهایی در مورد آن می‌دانیم؟

LAPSUS$ در سال 2020 زمانی که سیستم‌های سلامتی وزرات بهداشت برزیل را دستکاری کرد به شهرت رسید. احتمالاً گروه هکر لاتین آمریکایی بوده است که کارش سرقت اطلاعات از شرکت‌های بزرگ به صورت رندوم است. اگر قربانی در باج دادن تعلل کند هکرها اطلاعات سرقتی را در فضای اینترنت پخش می‌کنند. برخلاف بسیاری از گروه‌های باج‌افزاری دیگر، LAPSUS$ داده‌های سازمان‌های ه‌شده را رمزگذاری نمی‌کند اما فقط تهدید می‌کند که در صورت عدم پرداخت مبلغ باج آن‌ها را نشت خواهد کرد. قربانیان  LAPSUS$ تعدادشان کم نبوده است و از برجسته‌ترین آن‌ها می‌توان به انویدیا، سامسونگ و یوبیسافت اشاره کرد. افزون بر این آن‌ها اخیراً کد 37 گیگی را منتشر کردند که گمان می‌رفت به پروژه‌های داخلی مایکروسافت مربوط باشد.

راهکارهای امنیتی

در حال حاضر نمی‌توان با قطعیت گفت این رخداد واقعاً اتفاق افتاده. نشر اسکرین‌شات‌ها به خودی خود حرکت غریبی است که شاید هدفش تبلیغ هکرها باشد یا خدشه‌دار کردن اعتبار اوکتا یا تلاشی برای پنهان کردن متود واقعی که بوسیله آن LAPSUS$ به یکی از کلاینت‌های اوکتا دسترسی پیدا کرد. توصیه ما به شما این است که:

• نظارت دقیق بر فعالیت شبکه و به ویژه هر فعالیت مرتبط با احراز هویت در سیستم‌های داخلی را به طور خاص اعمال کنید.
• به کارمندان خود در خصوص بهداشت امنیت سایبری آموزش ویژه دهید و آن‌ها را طوری آماده کنید که گوش به زنگ حملات باشند و هر فعالیت مشکوکی را گزارش دهند.
• ممیزی امنیتی روی زیرساخت آی‌تی سازمان‌ خود انجام دهید تا طی آن، گپ‌ها و سیستم‌های آسیب‌پذیری آشکار شوند.
• دسترسی به ابزارهای مدیریت ریموت را از آدرس‌های آی‌پی خارجی محدود کنید.
• مطمئن شوید رابط‌های کنترل ریموت تنها از تعدادی اندپیونت خاص قابل‌دسترسی هستند.
• اصل ارائه مزیت‌های محدود به کارمند را رعایت کنید و اکانت‌هایی با مزایای بالا را فقط در اختیار کسانی بگذارید که بدان‌ها نیاز دارند.
• از راهکارهای نظارت، تحلیل و شناسایی ترافیک شبکه ICS برای محافظت بهتر در برابر حملاتی که فرآیند فناوری و دارایی‌های اصلی شرکت را تهدید می‌کنند، استفاده کنید.

شرکت‌هایی که منابع داخلی برای نظارت بر فعالیت‌های مشکوک در زیرساخت فناوری اطلاعات خود ندارند، می‌توانند از کارشناسان خارجی استفاده کنند.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.