Skip to content
Cyber Breaches
Recherche
Ingénierie socialeContenu

Intrusion Uber par Lapsus$ via ingénierie sociale

Un individu de 18 ans affilié à Lapsus$ a manipulé un sous-traitant d'Uber par ingénierie sociale, a vaincu la MFA grâce à une campagne de bombardement de notifications d'une heure, puis a trouvé des identifiants administrateur codés en dur sur un partage interne qui ont déverrouillé les tableaux de bord AWS, G-Suite, Slack et HackerOne d'Uber.

Victime
Uber Technologies
SecteurTransportTechnologie
PaysÉtats-Unis
GroupeLapsus$
Attaquants nommés« teapotuberhacker » (18 ans, lié par la suite à Lapsus$)

Le 15 septembre 2022, Uber a découvert qu'un attaquant s'était infiltré profondément dans son réseau interne. L'intrusion était frappante non par sa complexité technique mais par le peu de technique qu'elle comportait : l'attaque reposait presque entièrement sur l'ingénierie sociale et une attaque par épuisement MFA, exécutée par un acteur prétendant avoir 18 ans et lié par la suite au groupe Lapsus$.

Comment l'intrusion s'est déroulée

L'attaquant a commencé avec les identifiants volés d'un sous-traitant, très probablement achetés sur une place de marché du dark web après que l'appareil personnel du sous-traitant eut été infecté par un maliciel. Des identifiants valides ne suffisaient toutefois pas — le compte était protégé par une authentification multifacteur. L'attaquant a donc lancé une attaque par épuisement MFA (bombardement de notifications), déclenchant un déluge de notifications d'approbation de connexion vers le téléphone du sous-traitant pendant plus d'une heure.

Lorsque les notifications n'ont pas cessé, l'attaquant a contacté le sous-traitant sur WhatsApp, se faisant passer pour le support informatique d'Uber, et a affirmé que les notifications ne s'arrêteraient que si le sous-traitant en approuvait une. À bout, le sous-traitant a approuvé une notification — et l'attaquant était dans la place.

Élévation de privilèges

Un accès initial à un seul compte de sous-traitant serait normalement un problème circonscrit. Ce qui l'a transformé en une compromission quasi totale, c'est une aubaine de déplacement latéral : l'attaquant a découvert des scripts PowerShell sur un partage réseau interne contenant des identifiants administrateur codés en dur pour le système de gestion des accès à privilèges (Thycotic) d'Uber.

Ces identifiants étaient un passe-partout. Grâce à eux, l'attaquant a obtenu l'accès à :

  • l'environnement AWS d'Uber ;
  • Google Workspace (G-Suite) ;
  • Slack, où l'attaquant a publié un message annonçant l'intrusion à toute l'entreprise ;
  • le tableau de bord de bug bounty HackerOne — exposant potentiellement des vulnérabilités non corrigées signalées à Uber ;
  • des outils internes de finance et vSphere.

L'attaquant a également reconfiguré l'OpenDNS d'Uber pour afficher une image sur certains sites internes, une fioriture théâtrale caractéristique de Lapsus$.

Impact et confinement

Uber a mis ses outils internes hors ligne et déclenché son processus de réponse à incident. De manière déterminante, l'enquête de l'entreprise a conclu que l'attaquant n'avait pas accédé aux systèmes de production qui font tourner les applications d'Uber, ni à aucun compte utilisateur, ni aux bases de données stockant des informations sensibles sur les utilisateurs. Aucun vol de données de paiement ou de trajet n'a été confirmé. L'attaquant a tout de même téléchargé certains messages Slack internes et des informations issues d'un outil interne de facturation financière.

Uber a publiquement attribué l'intrusion à un acteur affilié à Lapsus$, le même groupe à l'origine des intrusions de 2022 chez Microsoft, Cisco, Samsung, Nvidia et Okta. Parmi les membres du groupe figurait l'adolescent britannique Arion Kurtaj, reconnu par la suite responsable de l'intrusion chez Uber par un tribunal londonien, entre autres.

Pourquoi c'est important

L'intrusion d'Uber est la démonstration canonique que l'authentification multifacteur n'est pas une panacée. La MFA par notification, en particulier, est vulnérable aux attaques par épuisement où le maillon faible est l'humain — et non la cryptographie. L'incident a stimulé l'adoption massive de la MFA par correspondance de numéros et des facteurs FIDO2/WebAuthn résistants à l'hameçonnage, qui ne peuvent être approuvés d'une simple pression.

Tout aussi important fut le chemin d'élévation : des identifiants administrateur codés en dur dans un script PowerShell, sur un partage de fichiers accessible, ont transformé un seul sous-traitant compromis en une intrusion à l'échelle de tout l'environnement. Le cas est désormais un exemple pédagogique standard d'hygiène de gestion des secrets — les identifiants doivent résider dans un coffre-fort doté de contrôles d'accès et de rotation, jamais dans des scripts sur un partage réseau — et du principe selon lequel un point d'ancrage initial ne devrait jamais accorder un accès permanent aux clés de tout le royaume.

Chronologie

  1. À l'aide d'identifiants probablement achetés sur le dark web, l'attaquant déclenche un déluge de notifications MFA vers l'appareil d'un sous-traitant d'Uber.

  2. Se faisant passer pour le support informatique d'Uber sur WhatsApp, l'attaquant persuade le sous-traitant d'approuver l'une des notifications, accédant ainsi à son compte.

  3. L'attaquant trouve, sur un partage réseau interne, des scripts PowerShell contenant des identifiants administrateur codés en dur pour le système de gestion des accès à privilèges (Thycotic) d'Uber.

  4. Avec ces identifiants, l'attaquant accède à AWS, G-Suite, Slack, au tableau de bord de bug bounty HackerOne et à d'autres outils internes ; il publie un message dans un canal Slack à l'échelle de l'entreprise.

  5. Uber met ses outils internes hors ligne et entame sa réponse à incident ; l'attaquant défigure également un site interne via une reconfiguration d'OpenDNS.

  6. Uber publie les conclusions de son enquête, attribuant l'intrusion à un acteur affilié à Lapsus$ et confirmant qu'aucun système de production ni donnée utilisateur n'a été consulté.

  7. L'adolescent britannique Arion Kurtaj, lié à Lapsus$, est reconnu responsable par un tribunal londonien d'une série d'intrusions de 2022, dont celle d'Uber.

Sources

  1. uber.comhttps://www.uber.com/newsroom/security-update/
  2. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/uber-links-breach-to-lapsus-group-blames-contractor-for-hack/
  3. nytimes.comhttps://www.nytimes.com/2022/09/15/technology/uber-hacking-breach.html
  4. thehackernews.comhttps://thehackernews.com/2022/09/uber-says-its-internal-systems-were.html
  5. theverge.comhttps://www.theverge.com/2022/9/16/23356213/uber-hack-teen-slack-google-cloud-credentials-powershell

Incidents liés

Ingénierie socialeRésolu

Arnaque au Bitcoin et compromission de l'outil d'administration de Twitter

Des attaquants ont utilisé le spear-phishing téléphonique contre des employés de Twitter pour atteindre un outil d'administration interne « agent », détournant 130 comptes de premier plan dont ceux d'Obama, Musk, Bezos et Apple, et publiant une arnaque de doublement de Bitcoin qui a rapporté environ 118 000 $.

Victim
Twitter, Inc.
Loss
$118.0K
Ingénierie socialeRésolu

Scandale des données Facebook–Cambridge Analytica

Le cabinet de conseil politique Cambridge Analytica a obtenu de manière abusive les données personnelles de jusqu'à 87 millions d'utilisateurs Facebook via une application de quiz de personnalité, exploitant l'API tierce permissive de Facebook pour collecter les réseaux d'amis et bâtir des profils de ciblage électoral. Le scandale a entraîné une amende record de 5 milliards de dollars de la FTC.

Victim
Facebook
Loss
$5.00B
Records
87.0M