Pendant la semaine Depuis que le groupe d’extorsion numérique Lapsus$ a révélé pour la première fois qu’il avait violé la plate-forme de gestion d’identité Okta par l’intermédiaire de l’un des sous-traitants de l’entreprise, les clients et les organisations de l’industrie technologique se sont efforcés de comprendre le véritable impact de l’incident. Le sous-traitant ultérieur, Sykes Enterprises, qui appartient à la société d’externalisation de services aux entreprises Sitel Group, a confirmé publiquement la semaine dernière qu’il avait subi une violation de données en janvier 2022. Maintenant, des documents divulgués montrent la notification initiale de violation de Sitel aux clients, qui inclurait Okta, sur 25 janvier, ainsi qu’une « chronologie des intrusions » détaillée datée du 17 mars.
Les documents soulèvent de sérieuses questions sur l’état des défenses de sécurité de Sitel/Sykes avant la violation, et ils mettent en évidence des lacunes apparentes dans la réponse d’Okta à l’incident. Okta et Sitel ont tous deux refusé de commenter les documents, qui ont été obtenus par le chercheur indépendant en sécurité Bill Demirkapi et partagés avec WIRED.
Lorsque le groupe Lapsus $ a publié des captures d’écran affirmant qu’il avait violé Okta le 21 mars, la société a déclaré qu’elle avait déjà reçu le rapport de violation de Sitel le 17 mars. Mais après avoir été assis avec le rapport pendant quatre jours, Okta a semblé être pris au dépourvu lorsque les pirates ont rendu l’information publique. La société a même initialement déclaré: “Le service Okta n’a pas été violé.” WIRED n’a pas vu le rapport complet, mais la “chronologie de l’intrusion” à elle seule serait probablement profondément alarmante pour une entreprise comme Okta, qui détient essentiellement les clés du royaume pour des milliers de grandes organisations. Okta a déclaré la semaine dernière que “l’impact potentiel maximum” de la violation atteint 366 clients.
La chronologie, qui a apparemment été produite par les enquêteurs de sécurité de Mandiant ou basée sur des données recueillies par l’entreprise, montre que le groupe Lapsus $ a pu utiliser des outils de piratage extrêmement connus et largement disponibles, comme l’outil de saisie de mot de passe Mimikatz, pour se déchaîner. via les systèmes de Sitel. Au départ, les attaquants ont également pu obtenir suffisamment de privilèges système pour désactiver les outils d’analyse de sécurité qui auraient pu signaler l’intrusion plus tôt. La chronologie montre que les attaquants ont initialement compromis Sykes le 16 janvier, puis ont intensifié leur attaque tout au long des 19 et 20 jusqu’à leur dernière connexion dans l’après-midi du 21, que la chronologie appelle “Mission complète”.
“La chronologie de l’attaque est extrêmement inquiétante pour le groupe Sitel”, déclare Demirkapi. “Les attaquants n’ont pas du tout tenté de maintenir la sécurité opérationnelle. Ils ont littéralement cherché sur Internet sur leurs machines compromises des outils malveillants connus, en les téléchargeant à partir de sources officielles.
Avec seulement les informations que Sitel et Okta ont décrites avoir tout de suite fin janvier, cependant, on ne sait pas non plus pourquoi les deux sociétés ne semblent pas avoir mis en place des réponses plus vastes et urgentes pendant que l’enquête de Mandiant était en cours. Mandiant a également refusé de commenter cette histoire.
Okta a déclaré publiquement avoir détecté une activité suspecte sur le compte Okta d’un employé de Sykes les 20 et 21 janvier et partagé des informations avec Sitel à ce moment-là. La « communication client » de Sitel le 25 janvier aurait apparemment été une indication qu’il y avait encore plus de problèmes qu’Okta ne le savait auparavant. Le document Sitel décrit « un incident de sécurité… au sein de nos passerelles VPN, Thin Kiosks et serveurs SRW ».