Lapsus针对Uber外部承包商发动MFA炸弹袭击

这家公司表示，臭名昭著的 Lapsus$ 黑客组织的一名成员通过破坏外部承包商的凭据开始了攻击，研究人员正在分析该事件的结论。

Uber将上周发生的大规模入侵归因于臭名昭著的 Lapsus$ 黑客组织，并发布了有关此次攻击的更多细节。研究人员表示，该事件凸显了过度信任多因素身份验证 (MFA) 可能带来的风险，以及围绕云服务采用的不受管理的风险。

在周一的更新中，Uber列出了归因：“我们认为这个攻击者（或多个攻击者）隶属于一个名为Lapsus$的黑客组织，该组织在过去一年左右的时间里变得越来越活跃。”

Uber的公告指出了其他公司，包括思科、微软、英伟达、 Okta和三星，这些公司已经通过类似技术成为网络犯罪团伙的目标，

最近几个月，Lapsus$因其对一些世界上最大和知名公司的公然攻击而引起了相当大的关注。该组织已知使用的一种众所周知的策略是将MFA规避工具加入其攻击链。

事实上，Uber周一表示， 上周入侵其网络的攻击者首先获得了外部承包商的VPN凭证，可能是通过在暗网上购买的。攻击者随后反复尝试使用非法获取的凭据登录Uber账户，每次都提示双因素登录批准请求。

在承包商最初阻止这些请求后，攻击者在 WhatsApp 上冒充技术支持联系目标，告诉该人接受 MFA 提示，从而允许攻击者登录。

Xage 首席执行官邓肯·格林伍德 (Duncan Greenwood) 表示：“Uber 的违规行为似乎是 MFA 疲劳攻击的结果，也称为 MFA 轰炸攻击。这是一种黑客向手机等辅助设备发送多个身份验证批准请求的技术，希望用户无意中提供访问权限，或者变得如此沮丧以至于他们最终批准了请求。”

一旦进入，攻击者就破坏了多个内部系统，Uber目前正在进行影响分析，该公司表示：“攻击者访问了其他几个员工账户，最终让攻击者提升了对许多工具的权限，包括G-Suite和Slack。”

该公司表示，攻击者似乎没有对其代码库进行任何更改，他似乎也无法访问云提供商存储的任何客户或用户数据。攻击者似乎确实下载了一些内部 Slack 消息，并访问或下载了 Uber 财务团队用来管理发票的内部工具。

Uber表示，虽然攻击者还访问了外部研究人员通过 HackerOne 漏洞赏金计划提交的平台漏洞披露数据库，但所有漏洞都已得到修复。