Violazione di LastPass: La prospettiva della piramide del dolore

14 marzo 2023

Negli ultimi mesi gli esperti di sicurezza informatica hanno reagito rapidamente ai dettagli della violazione di LastPass. Sono stati pubblicati articoli di opinione che affrontano sia le fasi critiche di bonifica per i clienti, sia le meritate critiche alla comunicazione dell'incidente. Nel discorso pubblico è mancata una discussione sugli indicatori che possono essere ricavati dalle varie comunicazioni di LastPass. In questo blog cercherò di delineare le informazioni contenute nelle comunicazioni di LastPass e di enumerare gli indicatori degli aggressori, inquadrando la discussione intorno alla Piramide del dolore.

Questo articolo intende seguire da vicino il consiglio dell'autore della Piramide del dolore, David Bianco: "Ogni volta che ricevete nuove informazioni su un avversario (che si tratti di APT1/Comment Crew o di qualsiasi altra minaccia), esaminatele attentamente rispetto alla Piramide del dolore. Per ogni paragrafo, chiedetevi: "C'è qualcosa qui che posso usare per rilevare l'attività dell'avversario e dove si colloca nella piramide?"".

La piramide del dolore per gli indicatori Cloud

La Piramide del dolore è un modello concettuale per classificare l'efficacia dei controlli investigativi. Descritta per la prima volta da David Bianco nel 2013, il "dolore" si riferisce alla sofferenza che un controllo investigativo infligge all'avversario. Più si sale nella piramide, più l'attaccante proverà dolore nell'adattarsi e nell'eludere necessariamente le capacità investigative del difensore. La piramide del dolore riconosce che non tutti gli indicatori di compromissione (e quindi le capacità investigative) sono uguali. Alcuni indicatori sono banali da modificare ed eludere per un attaccante, mentre altri comportamenti sono fondamentali per il loro obiettivo dichiarato e non possono essere alterati così facilmente.

Alla base della piramide ci sono indicatori semplici come gli indirizzi IP e i valori hash. Ciò include i rilevamenti cloud basati sull'indirizzo IP di origine o sulla firma dello strumento di attacco. I difensori potrebbero trovare un po' di conforto nell'implementazione di rilevamenti mirati agli indicatori che si trovano in basso nella piramide del dolore, ma dovrebbero essere consapevoli della semplicità dell'evasione.

In cima alla Piramide del dolore ci sono gli indicatori fondamentali per il modo in cui un attaccante raggiunge i propri obiettivi. Si tratta di tattiche, tecniche e procedure (TTP) che sono difficili o impossibili da modificare per l'attore della minaccia. Immaginate una suite di rilevamento che rilevi le chiamate API coinvolte nel trasferimento di dati da un ambiente cloud affidabile. Questo indicatore sarebbe impossibile da modificare per un aggressore, a meno che non sia in grado di sfruttare meccanismi sconosciuti e non documentati del fornitore di cloud per trasferire i dati.

Nel mezzo ci sono gli indicatori che un avversario potrebbe modificare o evitare di esibire con una certa difficoltà. Nell'analisi del cloud, questo livello include modelli di eventi che indicano una compromissione iniziale. La scoperta e l'enumerazione di un ambiente cloud viene eseguita più semplicemente interrogando direttamente le API cloud e lasciando una scia di indicatori sul piano di controllo cloud . Tuttavia, questi indicatori possono essere evitati e le stesse informazioni possono essere ricavate da informazioni open-source o dalla documentazione interna.

LastPass Comunicazioni Intel

Cerchiamo di individuare le informazioni contenute nelle comunicazioni pubbliche di LastPass, prestando particolare attenzione agli indicatori degli aggressori che hanno preso di mira i dati ospitati cloud . Sebbene queste comunicazioni contengano numerose informazioni interessanti sulla postura protettiva e difensiva di LastPass, questo post si concentra sul portare alla luce i possibili comportamenti dell'attaccante.

1° incidente: Il risultato è stato il furto di repository di sorgenti e di documentazione tecnica.

"L'attore della minaccia ha utilizzato servizi VPN di terze parti per offuscare l'origine della propria attività durante l'accesso all'ambiente di sviluppo cloud e ha sfruttato il proprio accesso per impersonare l'ingegnere del software. Utilizzando questo approccio, è stato in grado di accedere all'ambiente di sviluppo on-demand tramite la nostra VPN aziendale e una connessione dedicata all'ambiente di sviluppo cloud. Hanno fatto affidamento sull'autenticazione dell'ingegnere del software con credenziali di dominio e MFA. Non è stata individuata o richiesta alcuna escalation di privilegi".

Ciò indica che l'ambiente di sviluppo cloud aveva una connettività ibrida ed era disponibile per gli utenti autenticati dal dominio all'interno dello spazio IP aziendale.
Qualsiasi controllo investigativo orientato a indirizzi IP insoliti o noti come cattivi avrebbe probabilmente mancato di individuare l'attore della minaccia che utilizzava la VPN aziendale quando proveniva dall'endpoint dell'ingegnere del software; tuttavia, se la connessione non fosse stata stabilita al di fuori della workstation, si sarebbero potuti attivare controlli per prevenire o rilevare una connessione VPN insolita.

2° incidente: Furto dei backup del caveau dei clienti contenenti dati crittografati e non, semi di password una tantum e segreti API utilizzati nelle integrazioni di terze parti.

"A causa dei controlli di sicurezza che proteggono e mettono in sicurezza le installazioni on-premises del data center di produzione di LastPass, l'attore della minaccia ha preso di mira uno dei quattro ingegneri DevOps che avevano accesso alle chiavi di decrittazione necessarie per accedere al servizio di cloud storage".

Gli autori del rapporto sembrano indicare che l'attore delle minacce ha scelto di prendere di mira i dati archiviati nel cloud rispetto a quelli on-premise a causa di controlli di sicurezza meno solidi.

"In particolare, l'attore minaccia è stato in grado di sfruttare le credenziali valide rubate a un ingegnere DevOps senior per accedere a un ambiente di cloud condiviso, il che inizialmente ha reso difficile per gli investigatori distinguere tra l'attività dell'attore minaccia e l'attività legittima in corso."

"Per accedere alle risorse di archiviazione cloud- in particolare il bucket S3.....I servizi di archiviazione crittografata cloud ospitano i backup dei dati dei clienti LastPass e del vault crittografato".

Mettendo insieme queste frasi, possiamo dedurre che l'attaccante ha avuto accesso agli oggetti AWS S3 utilizzando credenziali valide e rubate.

"Per accedere alle risorse di archiviazione cloud- in particolare i bucket S3 che sono protetti con la crittografia AWS S3-SSE, AWS S3-KMS o AWS S3-SSE-C - l'attore della minaccia doveva ottenere le chiavi di accesso AWS e le chiavi di decrittografia generate da LastPass".

Se è stata necessaria una chiave di accesso AWS per accedere alle risorse di archiviazione cloud e l'accesso è andato a buon fine, possiamo concludere che un utente IAM è stato compromesso e sfruttato per accedere agli oggetti archiviati in S3, poiché è l'unico IAM Principal a cui possono essere assegnate le chiavi di accesso.
Dato che i dati a cui si è avuto accesso erano backup cloud , si può presumere che l'identità compromessa fosse destinata a essere sfruttata durante gli scenari di ripristino di emergenza.

"..... L'attore della minaccia ha sfruttato una vulnerabilità nel software di terze parti, ha aggirato i controlli esistenti e alla fine ha avuto accesso agli ambienti di sviluppo e di storage di backup non di produzione".⁴"

LastPass conferma che l'attore della minaccia ha avuto accesso ai dati di backup segnalati nelle comunicazioni precedenti come archiviati in AWS S3. Possiamo utilizzare queste informazioni per discutere i possibili indicatori di compromissione che un aggressore potrebbe lasciare.

Violazione di LastPass: Opportunità di rilevamento e risposta Cloud

Alla luce di quanto sappiamo sul valore dei diversi indicatori, come possiamo mappare i possibili indicatori della violazione di LastPass sulla Piramide del dolore?

Indicatori relativamente "indolori

Questi indicatori sono facili da evitare per un avversario, tendono a dare luogo a rilevamenti veri e propri ad alta confidenza, ma è improbabile che ricevano un'azione tempestiva da parte di un team operativo di sicurezza, poiché tendono a non illustrare l'impatto sulle risorse cloud .

Cloud API Accesso da luoghi non comuni con conseguente rilevamento di viaggi improbabili.
→ È improbabile che il primo incidente sarebbe stato rilevato se si fosse cercato questo indicatore, ma è possibile che il secondo incidente abbia prodotto qualche segnale.

Indicatori della media piramide

Un avversario sarebbe in grado di evitare l'uso di questi indicatori con una certa difficoltà, ma non è comunque probabile che riceva un'azione tempestiva da parte di un team operativo di sicurezza, poiché tendono a non illustrare l'impatto sulle risorse cloud .

Attività di ricognizione
→ Una volta ottenuto l'accesso a credenziali valide, l'aggressore potrebbe aver sfruttato le API cloud per enumerare le autorizzazioni e/o elencare e descrivere gli oggetti S3. Tuttavia, durante il primo incidente è stata rubata una grande quantità di documentazione tecnica. È possibile che tutte le informazioni necessarie fossero incluse in questa documentazione e che l'aggressore non abbia avuto bisogno di effettuare ulteriori attività di ricognizione sul cloud.

Indicatori della piramide superiore

L'attore delle minacce non sarebbe in grado di evitare di lasciare questi indicatori e di raggiungere comunque i propri obiettivi, come l'esfiltrazione dei dati. La modifica di questi indicatori per evitare il rilevamento richiederebbe l' utilizzo di un'API o di una tecnica sconosciuta. I rilevamenti basati su questi indicatori sono suscettibili di attirare rapidamente l'attenzione di un team operativo di sicurezza.

Spostamento di oggetti S3 verso destinazioni sospette
→ I dati sono stati spostati da archivi di dati cloud autorizzati a posizioni controllate dagli aggressori. Questo trasferimento rappresenta un'opportunità per creare rilevazioni sullo spostamento dei dati in posizioni sconosciute, non attendibili o esterne.

Accesso a un grande volume di oggetti S3
→ Dalle comunicazioni di LastPass possiamo dedurre che sono stati trasferiti grandi volumi di dati sfruttando la velocità e la scala delle API del Cloud AWS. L'accesso a un grande volume di dati è un indicatore che si trova in cima alla Piramide del dolore ed è un segnale per rilevare il recupero di dati sospetti.

Ci sono diversi indicatori di compromissione che possono essere ricavati dalla violazione di LastPass e mappati a tutti i livelli della Piramide del dolore. Sebbene sia utile fornire una copertura di rilevamento a tutti i livelli, è importante riconoscere che il vostro chilometraggio può variare. Il rilevamento dell'accesso cloud da indirizzi IP di origine sconosciuta o non attendibile sarà banale da evitare per un attaccante, mentre il rilevamento delle TTP di movimenti e accessi sospetti ai dati sarà probabilmente una metodologia di rilevamento collaudata.

Volete saperne di più?

Vectra® è leader nel rilevamento e nella risposta alle minacce cloud ibrido guidati dall'intelligenza artificiale. La piattaforma e i servizi Vectra coprono il cloud pubblico, le applicazioni SaaS, i sistemi di identità e l'infrastruttura di rete, sia on-premises che cloud. Le organizzazioni di tutto il mondo si affidano alla piattaforma e ai servizi di Vectra per resistere a ransomware, compromissioni della catena di approvvigionamento, appropriazioni di identità e altri attacchi informatici che colpiscono la loro organizzazione.

Se volete saperne di più, contattateci e vi mostreremo esattamente come facciamo e cosa potete fare per proteggere i vostri dati. Possiamo anche mettervi in contatto con uno dei nostri clienti per conoscere direttamente le loro esperienze con la nostra soluzione.

Contattateci