Mới đây, LastPass lại một lần nữa phải thông báo cho khách hàng của mình về sự cố bảo mật liên quan đến vi phạm môi trường phát triển vào tháng 8/2022 và sau đó là truy cập trái phép vào dịch vụ lưu trữ đám mây bên thứ ba của công ty, nơi lưu trữ các bản sao lưu.
Cụ thể, kẻ tấn công đã sử dụng thông tin bị đánh cắp trong vụ vi phạm vào tháng 8 và một lỗ hổng thực thi mã từ xa để cài đặt keylogger trên máy tính của một kỹ sư DevOps cấp cao và giành được quyền truy cập vào các bucket Amazon S3 đã được mã hóa của công ty.
Vì chỉ có bốn kỹ sư DevOps cấp cao của LastPass mới có quyền truy cập vào các khóa giải mã này nên kẻ tấn công đã nhắm mục tiêu vào một trong số họ. Cuối cùng, kẻ tấn công đã cài đặt thành công keylogger trên thiết bị của kỹ sư đó bằng cách khai thác lỗ hổng thực thi mã từ xa trong một phần mềm truyền thông của bên thứ ba.
LastPass cho biết thêm, kẻ tấn công đã lợi dụng thông tin bị đánh cắp trong sự cố đầu tiên và có thể lấy được mật khẩu chính của nhân viên khi nó được nhập, sau khi nhân viên đã xác thực bằng MFA và có quyền truy cập vào kho lưu trữ LastPass của kỹ sư DevOps. Sau đó, kẻ tấn công đã trích xuất các dữ liệu được lưu trữ trong đó gồm nội dung của các thư mục được chia sẻ, chứa các ghi chú bảo mật được mã hóa với các khóa truy cập và giải mã cần thiết để truy cập các bản sao lưu AWS S3 LastPass đang dùng trong thực tế, các tài nguyên lưu trữ trên cloud khác và một số bản sao lưu cơ sở dữ liệu quan trọng liên quan.
Việc sử dụng thông tin xác thực hợp lệ khiến các nhà điều tra của công ty khó phát hiện hoạt động của kẻ xâm nhập, cho phép tin tặc truy cập và đánh cắp dữ liệu từ các máy chủ cloud của LastPass trong hơn hai tháng, từ ngày 12/8 đến ngày 26/10/2022.
LastPass cuối cùng đã phát hiện ra hành vi bất thường thông qua AWS GuardDuty Alerts khi kẻ tấn công cố gắng sử dụng quyền quản lý truy cập và nhận dạng đám mây (IAM) để thực hiện hoạt động trái phép.
Công ty cho biết kể từ đó họ đã tăng cường bảo mật của mình, bao gồm thay đổi thông tin đăng nhập nhạy cảm và khóa/mã token xác thực, thu hồi chứng chỉ, thêm nhật ký và cảnh báo bổ sung cũng như thực thi các chính sách bảo mật chặt chẽ hơn.
Truy cập vào kho dữ liệu lớn của LastPass
LastPass cũng đã tiết lộ chi tiết về thông tin nào của khách hàng đã bị đánh cắp trong cuộc tấn công. Dữ liệu bị lộ rất rộng và đa dạng, bao gồm từ các thành phần xác thực đa yếu tố, các khóa tích hợp (integration secrets) API MFA cho đến khóa phân tách K2 (Split knowledge component Key) dành cho khách hàng doanh nghiệp được liên kết.
Ngoài các dữ liệu trên, một số mã nguồn, tập lệnh, tài liệu nội bộ và một số dữ liệu sao lưu (đã được mã hóa) của LastPass cũng đã bị truy cập trái phép trong hai vụ vi phạm trên.
LastPass lưu ý rằng, tất cả dữ liệu nhạy cảm của khách hàng, ngoài URL, đường dẫn tệp đến phần mềm LastPass Windows hoặc macOS đã cài đặt và một số trường hợp nhất định liên quan đến địa chỉ email đều được mã hóa bằng mô hình Zero knowledge của LastPass và chỉ có thể được giải mã bằng mật khẩu chính của mỗi người dùng. Mật khẩu chính của người dùng không bao giờ được LastPass biết cũng như không được LastPass lưu trữ, do đó, chúng không được đưa vào dữ liệu bị lộ.
LastPass đã phát hành một tệp hướng dẫn để cập nhật các sự cố bảo mật và đề xuất các phương án mà khách hàng có thể thực hiện để bảo vệ môi trường của họ.
Nguyễn Chân
17:00 | 08/12/2021
15:00 | 30/08/2022
08:00 | 05/03/2021
16:16 | 31/03/2017
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
14:00 | 23/11/2023
Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.
13:00 | 13/11/2023
TriangleDB là phần mềm độc hại chính được sử dụng trong chiến dịch Operation Triangulation nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Bài viết này trình bày chi tiết một khía cạnh quan trọng của cuộc tấn công, bao gồm các module tính năng lén lút được thực hiện bởi các tác nhân đe dọa cùng với những thông tin về các thành phần được sử dụng, dựa trên báo cáo phân tích mới đây của hãng bảo mật Kaspersky.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024