Ci siamo già occupati, sul finire dello scorso anno, di quelli che erano i problemi causati agli utenti LastPass a causa di alcuni attacchi condotti ai danni della piattaforma. Inizialmente si pensava che gli attacchi non fossero tra loro collegati, in seguito alle indagini svolte dalla società si è invece scoperto che l’autore era il medesimo.

L’hacker avrebbe sfruttato quanto ottenuto dal primo attacco per condurre il secondo, violando il computer di casa di un dipendente e ottenendo un deposito decrittografato disponibile solo per una manciata di sviluppatori aziendali.

I due attacchi condotti ai danni di LastPass sarebbero collegati

Stando a quanto condiviso, l’hacker è stato in grado di rubare credenziali valide da un ingegnere DevOps senior e accedere ai contenuti di un data vault di LastPass; il vault permetteva inoltre l’accesso a un ambiente di cloud storage condiviso che conteneva le chiavi di crittografia per i backup del vault del cliente.

Ciò è stato ottenuto prendendo di mira il computer di casa dell’ingegnere DevOps e sfruttando un pacchetto software multimediale di terze parti vulnerabile, che ha abilitato la capacità di esecuzione di codice in modalità remota e ha consentito all’autore della minaccia di impiantare malware keylogger. L’autore della minaccia è stato in grado di acquisire la password principale del dipendente non appena è stata inserita, dopo che il dipendente si è autenticato con MFA, e ottenere l’accesso al caveau aziendale LastPass dell’ingegnere DevOps.

Dalle indagini condotte è dunque emerso come le tattiche, le tecniche e le procedure utilizzate nel primo incidente fossero differenti da quelle utilizzate per il secondo attacco, motivo per cui inizialmente non si pensava che i due episodi fossero collegati. Durante il secondo attacco però, l’autore avrebbe utilizzato le informazioni ottenute durante il primo per enumerare ed esfiltrare i dati archiviati nei bucket S3.

Gli avvisi e la registrazione sono stati abilitati durante questi eventi, ma non hanno indicato immediatamente il comportamento anomalo che è diventato più chiaro in retrospettiva durante le indagini. In particolare, l’autore della minaccia è stato in grado di sfruttare credenziali valide rubate a un ingegnere DevOps senior per accedere a un ambiente di archiviazione cloud condiviso, che inizialmente ha reso difficile per gli investigatori distinguere tra attività dell’attore della minaccia e attività legittima in corso.

Stando ad ulteriori indiscrezioni, rimaste però anonime, sembra che il computer domestico dello sviluppatore possa essere stato compromesso a causa del celebre servizio di streaming multimediale Plex che, proprio nel mese di agosto, era stato a sua volta vittima di un attacco hacker; tuttavia, considerando alcune discrepanze per quanto riguarda le tempistiche degli attacchi alle due società, non è chiaro se le violazioni siano realmente connesse. Le due aziende non hanno rilasciato alcun comunicato in merito.

In conclusione, considerando quanto emerso, nonché la particolare intraprendenza dell’hacker autore degli attacchi, i consigli per mantenersi al sicuro sono sempre gli stessi: è bene provvedere a modificare la propria Master Password, e anche tutte le password memorizzate nel proprio caveau. Oltre a ciò è sempre consigliabile prestare particolare attenzione ad eventuali e-mail di phishing, o a qualsiasi altro servizio che richieda la condivisione ingiustificata dei vostri dati personali, soprattutto dati di accesso e password; sebbene infatti quanto sopra sia apparentemente scaturito da una “falla interna all’azienda”, non si è mai troppo cauti.

Potrebbe interessarti anche: 1Password saluta le password per le passkeys, cosa sapere