Der führende Identity Provider Okta ermöglicht seinen Kunden die Verwaltung von Benutzerkonten und die Anmeldung an verschiedenen Diensten über eine zentrale Stelle.
Die Hackergruppe "LAPSUS$" hat Screenshots in ihrem Telegram-Kanal veröffentlicht, die den Zugang zu den Systemen von Okta als "superuser/admin" belegen sollen.
LAPSUS$ gibt an, mindestens seit dem 21. Januar 2022 Zugriff auf die Systeme von Okta zu besitzen.
Die Hackergruppe hatte in der Vergangenheit bereits Daten (Programmcode und interne Windows-Passwort-Hashes) von großen Unternehmen wie LG, Microsoft und NVIDIA veröffentlicht, weshalb von einer Echtheit der Angaben auszugehen ist. Anders als die meisten Hackergruppen verschlüsselt LAPSUS$ Unternehmensnetzwerke nicht, sondern droht stattdessen mit einer Veröffentlichung der Daten.
Unternehmen, die Okta als Identity Provider einsetzen, sind potenziell betroffen. Die Hackergruppe könnte sich ein Unternehmen, das Okta nutzt, als Ziel ausgewählt haben und anschließend das Passwort der Benutzer geändert und sogar die Multi-Faktor-Authentisierung neu ausgerollt haben. Die Hackergruppe war dadurch wahrscheinlich in der Lage, Zugriff auf alle Dienste zu erlangen, die über Okta verwaltet werden.
Wenn der zentrale Identity Provider kompromittiert wird, kann ein Unternehmen den unrechtmäßigen Zugriff auf dessen Dienste nicht verhindern. Das Security Operations Center (SOC)-Team des eigenen Unternehmens könnte darauf aufmerksam werden, wenn ungewöhnliche Aktionen im Identity- und Zugriffsmanagement erfolgen. Beispiele hierfür sind Anmeldungen zu ungewöhnlichen Zeiten oder von unüblichen Orten. Weiterhin könnte das Ändern von Berechtigungen, das Neusetzen von Passwörtern und das erneute Ausrollen der Multi-Faktor-Authentisierung auffällig sein.
Die Hackergruppe hat in ihrem Telegram-Kanal erläutert, wie sie bei einem Angriff unentdeckt bleibt. Laut der Hackergruppe reicht es bereits aus, wenn von einfachen Portscans abgesehen wird – und das SOC reagiert häufig erst, sobald der Incident bereits passiert ist.
14.01.2025
- 15.01.2025
Hack1/Hack2: Hacking Workshop
16.01.2025
- 17.01.2025
Hack1/Hack2: Hacking Workshop
27.01.2025
- 28.01.2025
Hack4: Angriffe gegen VoIP-Infrastrukturen
03.02.2025
Secu5: Planung und Durchführung von Penetrationstests
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer