Lapsus$ drong Okta-netwerk binnen via gestolen inloggegevens van Sitel

Lapsus$ wist het netwerk van Sitel binnen te dringen via gestolen inloggegevens. Via het netwerk van Sitel wisten zij toegang te krijgen tot interne systemen van authentificatieplatform Okta.

Dit meldt TechCrunch op basis van documenten die beveiligingsonderzoeker Bill Demirkapi met de website deelt. Deze documenten omvatten onder meer een tijdslijn van de aanval op Sitel, dat contactcenter-oplossingen levert. Lapsus$ claimde onlangs bij Okta te hebben toegeslagen. De aanval wordt door Okta bevestigd; het bedrijf meldt dat een aanvaller in de periode van 16 tot en met 21 januari 2022 toegang had tot de laptop van een support engineer. Dit komt overeen met een screenshot die is gedeeld door Lapsus$ op Telegram.

"De potentiële impact op Okta klanten is beperkt door de toegang die support engineers hebben. Deze engineers zijn niet in staat gebruikers te creëren of deleten, of klantdatabases te downloaden. Support engineers hebben toegang tot beperkte data - zoals Jira tickets en lijsten met gebruikers - die zichtbaar zijn op de screenshots. Support engineers zijn ook in staat wachtwoorden en multi-factor authentificatiefactors voor gebruikers te resetten, maar kunnen niet bij deze wachtwoorden", meldde Chief Security Officer (CSO) eerder.

"Na een grondige analyse van deze claims hebben we geconcludeerd dat een klein percentage van de klanten - ongeveer 2,5% - mogelijk is getroffen en wiens gegevens mogelijk zijn bekeken of waarop actie is ondernomen. We hebben die klanten geïdentificeerd en hebben al rechtstreeks per e-mail contact opgenomen."

Legacynetwerk van Sykes

Op basis van de documenten die TechCrunch nu in handen heeft meldt de website dat Sitel het security-incident ontdekte in een VPN-gateway op een legacy netwerk dat toebehoort aan Sykes. Dit is een servicebedrijf dat voor Okta werkt en sinds 2021 onderdeel uitmaakt van Sitel. Uit een analyse van de aanval blijkt onder meer dat de aanvallers op 21 januari een spreadsheet hebben geopend op het interne netwerk van Sitel met de naam 'DomAdmins-LastPass.xlsx'. De bestandsnaam doet vermoeden dat dit document wachtwoorden omvat van beheerdersaccount en een export is van de wachtwoordmanager LastPass.

Ongeveer vijf uur later is door de aanvallers een nieuw Sykes-account gecreëerd en is deze gebruikers toegevoegd aan een gebruikersgroep genaamd 'tenant administrators'. Deze gebruikersgroep heeft uitgebreide toegang tot de organisatie. Dit account was vermoedelijk bedoeld als 'back-up', die moest zeker stellen dat de aanvallers tot het netwerk van Sitel behielden indien Sitel maatregelen nam. Ongeveer gelijktijdig is ook het netwerk van Okta gekraakt, blijkt uit een tijdslijn die Okta onlangs publiceerde.

Okta heeft niet gereageerd op de berichtgeving van TechCrunch. Sitel en Mandiant spreken de berichtgeving niet tegen, maar willen hierop niet reageren.