شرکت lastPass در بحران، حمله هکر ها به کامپیوتر یک مهندس DevOps

به گزارش خبرگزاری آنا، امروزه اپلیکیشن‌های متعددی وجود دارند که برای اهداف مختلف توسط کاربران مورد استفاده قرار می‌گیرند. هر کدام از اپلیکیشن‌های موجود قابلیت‌ها و ویژگی‌هایی دارند که بر اساس آن‌ها می‌توانند نیازهای کاربران را برآورده کنند. در این میان یکی از اپلیکیشن‌های محبوب، اپلیکیشن‌های مدیریت رمز عبور هستند. با توجه به اینکه کاربران در سایت‌ها و شبکه‌های اجتماعی مختلفی عضویت دارند و ممکن است اطلاعات ورود خود به آن‌ها را فراموش کنند، بر اساس تحقیقات شرکت آراد آرپانت استفاده از اپلیکیشن‌های مدیریت رمز عبور روز به روز در حال افزایش است.

اپلیکیشن لست پس (LastPass) و حمله سایبری

همانطور که گفته شده بر اساس اطلاعات شرکت Arad Arpanet استفاده از اپلیکیشن‌های مدیریت رمز عبور توسط کاربران در حال افزایش است. یکی از محبوب‌ترین اپلیکیشن‌های مدیریت رمز در دنیا که کاربران زیادی از خدمات آن استفاده می‌کنند، اپلیکیشن لست پس یا LastPass است.

به تازگی اتفاق غیر منتظره‌ای برای این اپلیکیشن محبوب رخ داده است که در آن مهاجمان توانسته‌اند از طریق هک کردن کامپیوتری شخصی یکی از مهندسان خدمات DevOpsشرکت سازنده این اپلیکیشن و نصب یک بدافزار کی‌لاگر (Keylogger) بر روی سیستم، داده‌های شرکتی و کابران را به سرقت ببرند.

شرکت طراح و سازنده لست‌پس در ماه آگوست سال 2022 فاش کرد که یک نقص امنیتی در این برنامه وجود دارد که مهاجمان توانسته‌اند از طریق یک حساب توسعه دهنده در معرض خطر به بخش‌هایی از محیط توسعه شرکت دسترسی پیدا کرده و موفق شوند که بخشی از کدهای منبع و برخی از اطلاعات فنی اختصاصی شرکت را به سرقت ببرند. در ادامه این شرکت در ماه دسامبر 2022 فاش کرد که نقص داده‌ها در ماه آگوست به احتمال زیاد شدیدتر از چیزی بوده که قبلا تصور می‌شده است. در ادامه نیز فاش شد که مهاجمان توانسته‌اند که اطلاعات شخصی متعلق به کاربران و مشتران از جمله مخازن رمز عبور رمزگذاری شده را به سرقت ببرند.

بر اساس اطلاعات شرکت آراد آرپانت، لست‌پس کشف کرد که مهاجمان ناشناس توانسته‌اند که با استفاده از اطلاعات به دست آمده از حادثه امنیتی ماه آگوست 2022، به یکی از محیط‌های ذخیره‌سازی ابری دسترسی پیدا کنند. مهاجمان از این اطلاعات به دست آمده به منظور هدف قرار دادن یکی از کارمندان و بدست آوردن اعتبارنامه و کلیدهایی استفاده کردند که بتوانند از آن برای دسترسی و رمزگشایی برخی از داده‌های سرویس ذخیره‌سازی ابری دست پیدا کنند.

شرکت نرم‌افزار مدیریت رمز عبور لست‌پس یک حمله دوم را نیز فاش کرد که در آن مهاجم از داده‌های دزدیده شده به علت نقص امنیتی آگوست استفاده کرده و توانسته که آن‌ها را با اطلاعات موجود از نقض داده‌های شخص ثالث ترکیب کند. در ادامه مهاجم با استفاده از یک نقص در پکیج نرم‌افزار مدیای شخص ثالث، شرکت را هدف قرار داده است.

در آخرین بروزرسانی منتشر شده از شرکت گفته شده که: تحقیقات نشان می‌دهد که مهاجم دستاوردهای اولین حادثه امنیتی که در آگوست 2022 رخ داد را محور حمله دوم قرار داده و فعالانه درگیر یک سری جدید از فعالیت‌های شناسایی، شمارش و خروجی همسو با محیط ذخیره‌سازی ابری شد که از آگوست تا اکتبر 2022 ادامه داشت. حمله دوم باعث شد که مهاجمان قبل از بازنشانی کامل اطلاعات استخراج شده در اولین حادثه توسط تیم‌های ما برای شمارش از این اطلاعات به سرعت برای استخراج داده‌ها در منابع ذخیره‌سازی ابری استفاده کنند.

نحوه انجام حمله سایبری به لست‌پس

بر اساس اطلاعات شرکت Arad Arpanetدر حمله سایبری به لست‌پس، مهاجمان کامپیوتر خانگی یکی از مهندسان خدمات دواپس (DevOps) در این شرکت را هک کرده و توانسته‌اند که یک برنامه کی‌لاگر (Keylogger) را به عنوان بخشی از حمله سایبری پیچیده خود بر روی سیستم نصب کنند. شرکت لست‌پس حمله سایبری به کامپیوتر خانگی یکی از مهندسان خود و هک شدن این سیستم توسط مهاجمان را تأیید کرد.

در این حمله سایبری، مهاجمان یکی از چهار مهندس خدمات دواپس در شرکت لست‌پس را هدف قرار دادند تا بتوانند از این طریق به کلیدهای رمزگشایی مورد نیاز برای دسترسی به سرویس ذخیره‌سازی ابری دست پیدا کنند. در این حمله هکرها یک برنامه کی‌لاگر بر روی سیستم یکی از مهندسین نصب کردند و توانستند به رمز عبور اصلی او دسترسی پیدا کنند.

بر اساس اطلاعات شرکت آراد آرپانت این شرکت در خصوص این حمله اعلام کرد: این حمله از طریق هدف قرار دادن کامپیوتری خانگی یکی از مهندسان بخش DevOps در شرکت و به منظور بهره‌برداری از یک پکیج نرم‌افزاری مدیای شخص ثالث آسیب‌پذیر انجام شد که می‌توانست اجرای کد از راه دور را فعال کرده و مهاجم بتواند یک بدافزار کی‌لاگر بر روی سیستم نصب کند. در این حمله مهاجم توانست که به رمز عبور اصلی کارمند به محض وارد کردن اطلاعات دست پیدا کرده و از این طریق به خزانه سازمانی LastPass مهندس شرکت دسترسی پیدا کند.

در این حمله، مهاجم توانست ورودی‌های خزانه سازمانی محلی و محتوای پوشه‌های اشتراک‌گذاری را استخراج کند که این پوشه‌ها حاوی یادداشت‌های امن رمزگذاری‌ شده به همراه کلیدهای دسترسی و رمزگشایی مورد نیاز به منظور دسترسی به پشتیبان‌های تولید AWS S3 LastPass، سایر منابع ذخیره‌سازی فضای ابری و برخی از نسخه‌های پشتیبان پایگاه داده حیاتی بودند.

بر اساس اطلاعات شرکت Arad Arpanet مهاجمان پس از بدست آوردن کلید دسترسی به فضای ذخیره‌سازی ابری و کلیدهای رمزگشایی کانتینر ذخیره‌سازی دوگانه، اطلاعاتی را از نسخه پشتیبان کپی کنند که حاوی اطلاعات اولیه حساب کاربران و مشتریان و ابرداده‌های مرتبط بود. این داده‌ها شامل اطلاعاتی مانند نام شرکت، نام کاربر نهایی، آدرس صورتحساب، آدرس ایمیل، شماره تلفن و آدرس IP است که مشتریان از طریق آن به سرویس LastPass دسترسی پیدا می‌کنند.

در این حمله، مهاجم توانست یک نسخه پشتیبان از داده‌های خزانه مشتری را از کانتینر ذخیره‌سازی رمزگذاری شده کپی کند. نسخه پشتیبان که در این حمله کپی شد شامل داده‌های رمزگذاری نشده (نشانی‌های اینترنتی وب‌سایت) و 256 بیتی حساس با رمزگذاری AES (نام کاربری، رمز عبور وب‌سایت‌ها، یادداشت‌های ایمن و داده‌های فرم پر شده) بودند.