IT기업 우버와 함께 락스타게임즈 해킹 해커 FBI 동시 수사 진행중

IT기업 우버와 함께 락스타게임즈 해킹 해커 FBI 동시 수사 진행중

 

GTA 6 해커의 검거를 위해 우버가 락스타 게임즈와 같이 FBI, 미국 법무부와 함께 수사를 진행 중임을 확인했습니다.

해당 해커 집단은 'Lapsus'로 알려진 10대 해커들의 집단이며, 최근 우버와 락스타 게임즈를 해킹하였을 뿐만 아니라

과거에도 마이크로소프트 및 엔비디아를 표적으로 한 해킹 공격에 연루된 것으로 보인다고 합니다.

테이크투가 투자자들에게 밝힌 공식 입장

"우리는 이 사건을 모두 격리하고 억제하기 위한 모든 조치를 취했습니다"

 

 

9월 19일, 오전 10:45 PT

우리의 조사는 여전히 진행 중이지만, 우리는 지난 주 보안 사고에 대한 우리의 대응에 대한 업데이트를 제공하고 있습니다.

어떤 일이 있었습니까?

Uber EXT 계약자가 공격자에 의해 계정이 손상되었습니다. 공격자는 계약자의 개인 장치가 맬웨어에 감염된 후 다크 웹에서 계약자의 Uber 회사 암호를 구입하여 해당 자격 증명을 노출했을 가능성이 큽니다. 그런 다음 공격자는 계약자의 Uber 계정에 반복적으로 로그인하려고 시도했습니다. 매번 계약자는 이중 로그인 승인 요청을 받았으며 처음에는 액세스를 차단했습니다. 그러나 결국 계약자는 계약자를 수락했고 공격자는 성공적으로 로그인했습니다.

거기에서 공격자는 다른 여러 직원 계정에 액세스하여 궁극적으로 G-Suite 및 Slack을 포함한 여러 도구에 대한 권한을 높였습니다. 그런 다음 공격자는 많은 사람들이 본 회사 전체의 Slack 채널에 메시지를 게시하고 일부 내부 사이트의 직원에게 그래픽 이미지를 표시하도록 Uber의 OpenDNS를 재구성했습니다.

우리는 어떻게 대응했는가?

기존 보안 모니터링 프로세스를 통해 우리 팀은 신속하게 문제를 식별하고 대응하기 위해 이동할 수 있었습니다. 우리의 최우선 순위는 공격자가 더 이상 시스템에 액세스 할 수 없도록하는 것이 었습니다. 사용자 데이터가 안전했고 Uber 서비스가 영향을 받지 않았는지 확인하기 위해; 그런 다음 사건의 범위와 영향을 조사합니다.

다음은 우리가 취한 몇 가지 주요 조치이며 계속 수행합니다.

우리는 손상되거나 잠재적으로 손상된 직원 계정을 확인하고 Uber 시스템에 대한 액세스를 차단하거나 암호 재설정이 필요했습니다.
영향을 받거나 잠재적으로 영향을 받을 수 있는 많은 내부 도구를 비활성화했습니다.
우리는 키를 회전시켰다 (효과적으로 액세스를 재설정) 우리의 내부 서비스의 대부분에.
코드베이스를 잠궈 새로운 코드 변경을 막았습니다.
내부 도구에 대한 액세스를 복원할 때 직원에게 다시 인증해야 했습니다. 또한 다단계 인증(MFA) 정책을 더욱 강화하고 있습니다.
우리는 더 이상 의심스러운 활동을 더욱 면밀히 관찰하기 위해 내부 환경에 대한 추가 모니터링을 추가했습니다.
그 영향은 무엇이었습니까?

공격자는 여러 내부 시스템에 액세스했으며 조사는 중대한 영향이 있는지 여부를 결정하는 데 중점을 두었습니다. 조사가 아직 진행 중이지만, 우리는 우리가 공유 할 수있는 현재의 발견에 대한 세부 사항을 가지고 있습니다.

무엇보다도 공격자가 앱을 구동하는 프로덕션 (즉, 공개 지향) 시스템에 액세스하는 것을 못했습니다. 모든 사용자 계정; 또는 신용 카드 번호, 사용자 은행 계좌 정보 또는 여행 기록과 같은 중요한 사용자 정보를 저장하는 데 사용하는 데이터베이스. 우리는 또한 신용 카드 정보 및 개인 건강 데이터를 암호화하여 추가 보호 계층을 제공합니다.

코드베이스를 검토했지만 공격자가 변경 한 것을 발견하지 못했습니다. 또한 공격자가 클라우드 공급자(예: AWS S3)가 저장한 고객 또는 사용자 데이터에 액세스한 것도 발견하지 못했습니다. 공격자가 일부 내부 Slack 메시지를 다운로드했을 뿐만 아니라 재무 팀이 일부 송장을 관리하는 데 사용하는 내부 도구에서 정보에 액세스하거나 다운로드한 것으로 보입니다. 우리는 현재 이러한 다운로드를 분석 중입니다.

공격자는 보안 연구원이 버그 및 취약성을 보고하는 HackerOne의 대시보드에 액세스할 수 있었습니다. 그러나 공격자가 액세스할 수 있었던 버그 보고서는 수정되었습니다.

전체적으로 우리는 모든 공공 지향적 인 Uber, Uber Eats 및 Uber화물 서비스를 원활하게 운영하고 운영 할 수있었습니다. 일부 내부 도구를 중단했기 때문에 고객 지원 운영에 최소한의 영향을 미쳤으며 이제 정상으로 돌아 왔습니다.

책임은 누구에게 있습니까?

우리는이 공격자 (또는 공격자)가 Lapsus$라는 해킹 그룹과 제휴하고 있다고 생각합니다.이 그룹은 지난 한 해 동안 점점 더 활발하게 활동하고 있습니다. 이 그룹은 일반적으로 기술 회사를 대상으로 유사한 기술을 사용하며 2022 년에만 Microsoft, Cisco, Samsung, Nvidia 및 Okta를 위반했습니다. 주말 동안이 같은 배우가 비디오 게임 제작자 인 Rockstar Games를 위반했다는 보도도 있습니다. 우리는이 문제에 대해 FBI 및 미국 법무부와 긴밀히 협조하고 있으며 그들의 노력을 계속 지원할 것입니다.

여기서 우리는 어디로 가야합니까?

우리는 조사의 일환으로 여러 선도적 인 디지털 포렌식 회사와 협력하고 있습니다. 우리는 또한 미래의 공격으로부터 Uber를 더욱 보호하기 위해 정책, 관행 및 기술을 지속적으로 강화하기 위해이 기회를 취할 것입니다.

 

16월 10일, 오전 30:<> PT

조사 및 대응 노력이 진행 중이지만 어제 사건에 대한 추가 업데이트는 다음과 같습니다.

우리는 사건이 민감한 사용자 데이터 (예 : 여행 기록)에 대한 액세스와 관련이 있다는 증거는 없습니다.
Uber, Uber Eats, Uber Freight 및 Uber Driver 앱을 포함한 모든 서비스가 운영됩니다.
어제 공유했듯이 우리는 법 집행 기관에 통보했습니다.
어제 예방 조치로 중단 한 내부 소프트웨어 도구가 오늘 아침 온라인으로 돌아 왔습니다.
 

9월 15일 오후 6시 25분 PT

우리는 현재 사이버 보안 사고에 대응하고 있습니다. 우리는 법 집행 기관과 연락을 취하고 있으며 추가 업데이트가 제공되면 여기에 게시 할 것입니다.

 

출처 https://twitter.com/videotech_/status/1571939457259180033