Security

Το JumpCloud αποκαλύπτει παραβίαση από την υποστηριζόμενη από το κράτος ομάδα hacking APT

By

Marizas Dimitris

On

Ιούλ 17, 2023

Η εταιρεία επιχειρηματικού λογισμικού που εδρεύει στις

ΗΠΑ

, JumpCloud, λέει ότι μια ομάδα hacking που υποστηρίζεται από το κράτος παραβίασε τα συστήματά της πριν από σχεδόν ένα μήνα ως μέρος μιας εξαιρετικά στοχευμένης επίθεσης που επικεντρώθηκε σε περιορισμένο σύνολο πελατών.

Η εταιρεία ανακάλυψε το περιστατικό στις 27 Ιουνίου, μία εβδομάδα αφότου οι επιτιθέμενοι παραβίασαν τα συστήματά της μέσω επίθεσης spear-

phishing

.

Ενώ το JumpCloud δεν βρήκε στοιχεία ότι οι πελάτες του επηρεάστηκαν εκείνη τη στιγμή, η εταιρεία αποφάσισε να εναλλάξει τα διαπιστευτήρια και να ξαναφτιάξει παραβιασμένη

υποδομή

.

Στις 5 Ιουλίου, το JumpCloud ανακάλυψε “ασυνήθιστη δραστηριότητα στο πλαίσιο εντολών για ένα μικρό σύνολο πελατών”, ενώ διερεύνησε την επίθεση και ανέλυσε αρχεία καταγραφής για ενδείξεις κακόβουλης δραστηριότητας σε συνεργασία με συνεργάτες IR και αρχές επιβολής του νόμου.

Την ίδια ημέρα, η εταιρεία εναλλάσσει αναγκαστικά όλα τα κλειδιά API διαχειριστή για να προστατεύσει τις οργανώσεις των πελατών και τους ειδοποιεί να δημιουργήσουν νέα κλειδιά.

“Η συνεχιζόμενη ανάλυση αποκάλυψε το διάνυσμα επίθεσης: ένεση δεδομένων στο πλαίσιο εντολών μας. Η ανάλυση επιβεβαίωσε επίσης τις υποψίες ότι η επίθεση ήταν εξαιρετικά στοχευμένη και περιοριζόταν σε συγκεκριμένους πελάτες,” JumpCloud CISO Bob Phan

είπε

.

“Πρόκειται για εξελιγμένους και επίμονους εχθρούς με προηγμένες ικανότητες. Η ισχυρότερη γραμμή άμυνάς μας είναι μέσω της ανταλλαγής πληροφοριών και της συνεργασίας.”

Μαζί με τα στοιχεία του περιστατικού που κοινοποιήθηκαν στο συμβουλευτικό JumpCloud κυκλοφόρησε επίσης

δείκτες συμβιβασμού (ΔΟΕ)

να επιτρέπει στους συνεργάτες να προστατεύουν τα δίκτυά τους από παρόμοιες

επιθέσεις

από την ίδια ομάδα

απε

ιλών.

Το JumpCloud δεν έχει δώσει ακόμη πληροφορίες σχετικά με τον αριθμό των πελατών που επηρεάστηκαν από την επίθεση και δεν έχει συνδέσει την ομάδα APT πίσω από την παραβίαση με μια συγκεκριμένη κατάσταση.

«Θα συνεχίσουμε να ενισχύουμε τα δικά μας μέτρα ασφαλείας για να προστατεύσουμε τους πελάτες μας από μελλοντικές απειλές και θα συνεργαστούμε στενά με την κυβέρνηση και τους εταίρους του κλάδου για να μοιραστούμε πληροφορίες σχετικά με αυτήν την απειλή», δήλωσε ο Phan.

Τον Ιανουάριο, το JumpCloud ερεύνησε επίσης

τον πιθανό αντίκτυπο

ενός περιστατικού ασφαλείας CircleCI στους πελάτες του.

Ιδρύθηκε το 2013 και εδρεύει στο Λούισβιλ του Κολοράντο, η πλατφόρμα καταλόγου JumpCloud-as-a-service παρέχει υπηρεσίες ενιαίας σύνδεσης και ελέγχου ταυτότητας πολλαπλών παραγόντων σε περισσότερους από 180.000 οργανισμούς σε περισσότερες από 160 χώρες.

bleepingcomputer.com