بر اساس اسناد مشاهده شده توسط TechCrunch که جزئیات جدیدی در مورد نفوذهای سایبری که هنوز گزارش نشده است، هکرهای Lapsus $ برای هک کردن شبکه غول خدمات مشتری Sitel در ماه ژانویه، چند روز قبل از دسترسی به سیستم های احراز هویت Okta این غول، از اعتبار به خطر افتاده استفاده کردند.

پس از اینکه گروه هکری Lapsus $ تصاویری را منتشر کرد که نشان می‌داد حدود دو ماه قبل به برنامه‌ها و سیستم‌های داخلی Okta دسترسی داشته است، مشتریان از نقض امنیتی Okta در ژانویه مطلع شدند. Okta در یک پست وبلاگی این سازش را تأیید کرد و بعداً تأیید کرد که 366 مشتری شرکتی آن تحت تأثیر این نقض قرار گرفته اند یا حدود 2.5٪ از پایگاه مشتریانش.

این اسناد دقیق‌ترین گزارشی را که تا به امروز در مورد مصالحه با Sitel ارائه می‌دهد، که به هکرها اجازه می‌دهد بعداً به شبکه Okta دسترسی پیدا کنند.

Okta توسط هزاران سازمان و دولت در سراسر جهان به عنوان یک ارائه دهنده ورود به سیستم استفاده می شود و به کارمندان اجازه می دهد تا دسترسی ایمن به سیستم های داخلی شرکت مانند حساب های ایمیل، برنامه های کاربردی، پایگاه های داده و غیره داشته باشند.

اسناد دریافت شده از یک محقق امنیتی مستقل بیل دمیرکاپی و به اشتراک گذاشته شده با TechCrunch، شامل پیامی در مورد مشتری Sitel است که در 25 ژانویه ارسال شد – بیش از یک هفته پس از اینکه هکرها برای اولین بار شبکه آن را به خطر انداختند – و یک برنامه دقیق برای نفوذ Sitel، که توسط شرکت پاسخگویی به حوادث در 17 مارس تهیه شده بود، که با Okta به اشتراک گذاشته شد.

طبق اسناد، Sitel گفت که این حادثه امنیتی را در دروازه‌های VPN خود در یک شبکه قدیمی متعلق به Sykes، یک شرکت خدمات مشتریان فعال برای Okta، که Sitel در سال 2021 خریداری کرد، کشف کرده است. VPN یا VPN اغلب هدف حمله قرار می‌گیرند. برای دسترسی از راه دور به شبکه شرکت استفاده می شود.

جدول زمانی توضیح می‌دهد که چگونه مهاجمان از خدمات دسترسی از راه دور و ابزارهای هک در دسترس عموم برای به خطر انداختن و هدایت شبکه Sitel استفاده کردند و در طول پنج روزی که Lapsus $ به آن دسترسی داشت، دید عمیق‌تری برای شبکه به دست آورد. سایتل گفت زیرساخت ابری Azure آن نیز توسط هکرها در معرض خطر قرار گرفته است.

طبق جدول زمانی، هکرها در اوایل 21 ژانویه به صفحه گسترده در شبکه داخلی Sitel دسترسی پیدا کردند که “DomAdmins-LastPass.xlsx” نام داشت. نام فایل نشان می‌دهد که صفحه‌گسترده حاوی گذرواژه‌هایی برای حساب‌های سرپرست دامنه است که توسط مدیر رمز عبور LastPass یکی از کارمندان Sitel صادر شده‌اند.

حدود پنج ساعت بعد، هکرها یک حساب کاربری جدید Sykes ایجاد کردند و آن حساب را به یک گروه کاربری به نام “مدیران مستاجر” اضافه کردند که دسترسی گسترده ای به سازمان دارند، احتمالاً یک حساب “درپشتی” در شبکه Sitel ایجاد می کنند که هکرها می توانند از آن استفاده کنند. بعدا کشف و قفل شد. هکرهای Lapsus $ تقریباً در همان زمان شبکه Okta را به خطر انداختند، طبق تقویم رویدادهای Okta.

جدول زمانی نشان می دهد که هکرها آخرین بار در 21 ژانویه ساعت 2 بعد از ظهر (UTC) یعنی حدود ساعت 2 بعد از ظهر پس از دسترسی به صفحه گسترده رمز عبور به شبکه Sitel دسترسی پیدا کردند. Sitel یک بازنشانی رمز عبور در سراسر شرکت صادر کرد تا مهاجمان را مسدود کند.

Okta به دلیل عدم هشدار قبلی به مشتریان در مورد نقض Sitel پس از دریافت گزارش 17 مارس از Mandiant با انتقاد مواجه می شود. دیوید بردبری، افسر ارشد امنیتی Okta، گفت که این شرکت “باید سریعتر حرکت کند تا عواقب آن را درک کند.”

Okta قادر به اظهار نظر قبل از انتشار نبود. سایتل و ماندیانت محتوای گزارش ها را مناقشه نکردند، اما از اظهار نظر خودداری کردند.

Okta تنها یکی از چندین شرکت بزرگ است که در ماه های اخیر گروه هک و اخاذی Lapsus $ را هدف قرار داده است. گروه Lapsus $ اولین بار در ماه دسامبر پس از هدف قرار دادن وزارت بهداشت برزیل در یک حمله سایبری که 50 ترابایت داده از جمله اطلاعات مربوط به واکسیناسیون را به سرقت برد، در صحنه هک ظاهر شد. از آن زمان، این باند چندین شرکت پرتغالی زبان و همچنین غول‌های فناوری بزرگ از جمله سامسونگ، انویدیا، مایکروسافت و اوکتا را هدف قرار داده است و دسترسی خود را تبلیغ می‌کند و داده‌های ده‌ها هزار مشترک را در کانال تلگرامش می‌دزدد و اغلب در ازای آن درخواست‌های غیرعادی می‌کند. پرونده های دزدیده شده قربانیان خود را منتشر نکنند.

پلیس بریتانیا هفته گذشته اعلام کرد که هفت نفر مرتبط با این حوادث را دستگیر کرده است که همگی بین 16 تا 21 سال سن دارند.

اگر در مورد نقض یا کار در Okta یا Sitel اطلاعات بیشتری دارید، با دفتر امنیتی Signal به شماره 1 646-755-8849 یا zack.whittaker@techcrunch.com از طریق ایمیل تماس بگیرید.