Führender Identity Provider Okta gehackt – Was nun?

Was ist Okta?

Der führende Identity Provider Okta ermöglicht seinen Kunden die Verwaltung von Benutzerkonten und die Anmeldung an verschiedenen Diensten über eine zentrale Stelle.

Was ist passiert?

Die Hackergruppe "LAPSUS$" hat Screenshots in ihrem Telegram-Kanal veröffentlicht, die den Zugang zu den Systemen von Okta als "superuser/admin" belegen sollen.

LAPSUS$ gibt an, mindestens seit dem 21. Januar 2022 Zugriff auf die Systeme von Okta zu besitzen.

Wer ist "LAPSUS$"?

Die Hackergruppe hatte in der Vergangenheit bereits Daten (Programmcode und interne Windows-Passwort-Hashes) von großen Unternehmen wie LG, Microsoft und NVIDIA veröffentlicht, weshalb von einer Echtheit der Angaben auszugehen ist. Anders als die meisten Hackergruppen verschlüsselt LAPSUS$ Unternehmensnetzwerke nicht, sondern droht stattdessen mit einer Veröffentlichung der Daten.

Was sind die Auswirkungen?

Unternehmen, die Okta als Identity Provider einsetzen, sind potenziell betroffen. Die Hackergruppe könnte sich ein Unternehmen, das Okta nutzt, als Ziel ausgewählt haben und anschließend das Passwort der Benutzer geändert und sogar die Multi-Faktor-Authentisierung neu ausgerollt haben. Die Hackergruppe war dadurch wahrscheinlich in der Lage, Zugriff auf alle Dienste zu erlangen, die über Okta verwaltet werden.

Was können Sie jetzt tun?

• Die aktuellen Logs jetzt sichern: Logs werden häufig nicht lange genug aufbewahrt
• Logs nach potenziell bedrohlichen Aktionen durchsuchen
• Auf Rückmeldung von Okta warten, ob Ihr Unternehmen betroffen ist
• Alle hoch privilegierten Accounts ändern, die über Okta verwaltet werden
• Sollten Sie von einer Kompromittierung ausgehen: Die Passwörter aller über Okta verwalteten Nutzer ändern

Wie können Sie Sich in Zukunft schützen?

Wenn der zentrale Identity Provider kompromittiert wird, kann ein Unternehmen den unrechtmäßigen Zugriff auf dessen Dienste nicht verhindern. Das Security Operations Center (SOC)-Team des eigenen Unternehmens könnte darauf aufmerksam werden, wenn ungewöhnliche Aktionen im Identity- und Zugriffsmanagement erfolgen. Beispiele hierfür sind Anmeldungen zu ungewöhnlichen Zeiten oder von unüblichen Orten. Weiterhin könnte das Ändern von Berechtigungen, das Neusetzen von Passwörtern und das erneute Ausrollen der Multi-Faktor-Authentisierung auffällig sein.

Die Hackergruppe hat in ihrem Telegram-Kanal erläutert, wie sie bei einem Angriff unentdeckt bleibt. Laut der Hackergruppe reicht es bereits aus, wenn von einfachen Portscans abgesehen wird – und das SOC reagiert häufig erst, sobald der Incident bereits passiert ist.

So kann die SySS Sie unterstützen

• Benötigen Sie unsere Unterstützung bei einem Incident? Unser Team für Digitale Forensik und Incident Response ist für Sie da.
• Möchten Sie Angriffe einer Hackergruppe kontrolliert durchführen und das SOC verbessern? Unser Red Team probt mit Ihnen den Ernstfall.