Veliki sajber napad na Uber

Uber je u petak saopštio da reaguje na incident iy oblasti sajber bezbednosti nakon što je haker očigledno provalio njegovu mrežu.

Njujork tajms je izvestio da je Uber u četvrtak otkrio kršenje i isključio nekoliko svojih internih komunikacionih i inženjerskih sistema dok je istraživao obim hakovanja.

Inženjer bezbednosti je rekao da je uljez pružio dokaze o dobijanju pristupa ključnim sistemima u službi za pozivanje vozila.

Međutim, nije bilo naznaka da je Uberov vozni park ili njegov rad pogođen, piše Euronews.

Mikica Ivošević, CTO kompanije Abstract, na svom Linkedin profilu objavio je da je „napadač pristupio internim sistemima i platformama kao što su AWS, Google Workspace, VMware vSphere/ESXi, Slack, HackerOne, SentinelOne. Vrlo je moguće da će ovo biti data breach sličan onome koji je doživeo Twitch, kad su napadači preuzeli skoro sve što je bilo u digitalnom obliku, od source code do faktura i sve to objavili“, napisao je Ivošević.

On je dalje opisao kako su napadači došli do internih sistema? Prenosimo post u celosti.

 Napadač je primenio #socialengineering, odnosno ceo jedan sat je slao push notifikacije za auth jednom od zaposlenih i na kraju preko WhatsApp-a kontaktirao zaposlenog predstavljajući se da je iz Uber IT sektora i da ako želi da prestane da dobija notifikacija, da mora da prihvati zahtev. Logično da čim pišem o ovome da je zaposleni prihvatio zahtev i da je napadač na taj način dobio prisutp VPN-u, odnosno Uber Intranet-u (*.corp.uber.com)

 Nakon toga je napadač skenirao čitav intranet, došao do nekih diskova koji su podeljeni u mreži, a gde su bile powershell skripte koje su sadržale username i password za admin nalog od Thycotic sistema (PAM – Privileged Access Management)

 Pristupom Thycotic sistemu napadač je preuzeo kredencijale od sistema kao što su AWS, GSuite, OneLogin, HackerOne, Slack, SentinelOne …

Neke zanimljivosti povezane sa ovim napadom, odnosno Uber-om

 Hakovan je Slack i GSuite, pa je na taj način baš otežana komunikacija između timova koji treba da reše problem koji je nastao.

 CEO Uber-a je u prethodnom periodu bio na ročištu vezano za to što je Uber pre više od 5 godina platio hakerima da ne objave da je došlo do data breach-a

 Napadač je frustriran na Uber zato što im je najveća nagrada u Bug Bounty programu 15.000$, a dok na Slack Enterprise troše 2.000.000$ godišnje. Zbog toga sam i spomenuo da je vrlo moguće da zbog njegove frustracije svi podaci postanu javno dostpuni.

 Hakovan je EDR (SentinelOne), a koji omogućava pristup svakom računaru (kroz shell) i koji ujedno služi da zaštiti računare i mrežu od malware-a i sličnih pretnji. Napadač je imao pristup toj platformi, tako da je vrlo moguće da su računari od svih zaposlenih kompromitovani

„Čini se da su ugrozili mnogo stvari“, rekao je i Sem Kari, inženjer u Yuga Labs-u koji je komunicirao sa hakerom.

To uključuje potpuni pristup cloudu koje hostuje Amazon i Google gde Uber čuva svoj izvorni kod i podatke o klijentima, rekao je on.

Kari je rekao da je razgovarao sa nekoliko zaposlenih u Uberu koji su rekli da „rade na tome da sve interno zaključaju“ kako bi ograničili pristup hakeru. To uključuje internu mrežu za razmenu poruka kompanije iz San Franciska, rekao je on.

Rekao je da nema naznaka da je haker napravio bilo kakvu štetu ili da je zainteresovan za bilo šta više od publiciteta. „Moj osećaj je da se čini da žele da privuku što više pažnje“.