Nå forteller LastPass om hvordan hackerne klarte å bryte seg inn

Sårbarhet i en tredje programvare og en keylogger var veien inn, melder selskapet selv.

Angriperne kom seg inn på hjemmedatamaskinen til en DevOps-sikkerhetsingeniør, som var en av fire med tilgang til dekrypteringsnøklene til LastPass sin skytjeneste, skriver LastPass. 📸: Nicolas Asfouri/AFP
Angriperne kom seg inn på hjemmedatamaskinen til en DevOps-sikkerhetsingeniør, som var en av fire med tilgang til dekrypteringsnøklene til LastPass sin skytjeneste, skriver LastPass. 📸: Nicolas Asfouri/AFP Vis mer

I desember fortalte LastPass at hackere hadde stjålet delvis krypterte paassordhvelv og kundeinformasjon. Nå forteller LastPass på sin egen blogg om hvordan hackerne kom seg inn.

Ifølge selskapet klarte hackerne å installere en keylogger på hjemmedataen til en DevOps-utvikler, etter å ha utnyttet en sårbarhet i en tredjeparts-programvare.

Kom seg inn på en hjemmemaskin

Bakgrunnen for angrepet er en hendelse som varte fram til 12. august hvor hackere via en kompromittert utviklerkonto klarte å stjele kildekode og teknisk informasjon fra LastPass.

Umiddelbart etter dette, brukte hackerne den stjålne informasjonen til å iverksette en rekke rekke informasjons-, rekognisering- og eksfilteringsaktiviteter mot skylagringsmiljøet. Angrepet varte fram til og med 26. oktober 2022.

Ifølge LastPass viste ikke loggene umiddelbart at noe var galt. Dette skyldtes at angriperne kom seg inn på hjemmedatamaskinen til en DevOps-sikkerhetsingeniør, som var en av fire med tilgang til dekrypteringsnøklene til LastPass sin skytjeneste.

LastPass skriver at hackerne kom seg inn på maskinen via en sårbarhet i en tredjeparts medieprogramvarepakke, som lot hackerne innstallere en "keylogger".

Stjal krypterte notater

Slik fikk hackerne mulighet til å stjele DevOps-utviklerens masterpassord til LastPass-appen. Så var det bare å vente til utivkleren autentiserte med multifaktor for å få tilgang til bedriftshvelvet.

Her stjal angriperne data fra selskapshvelvet og i de delte mappene. Sistnevnte inneholdt krypterte notater med nødvendige tilgang- og dekrypteringsnøkler for å få tilgang til AWS S3 sikkerhetskopier, andre skybaserte lagringsressurser og enkelte relaterte kritiske database-sikkerhetskopier.

LastPass ble til slutt informert av AWS GuardDuty Alerts om unormal oppførsel da hackerne forsøkte å bruke Cloud Identity and Access Management (IAM) for å utføre uautorisert aktivitet.

På bloggen melder selskapet at de har tatt en rekke grep.