Uber : que sait-on de l’intrusion dans son système d’information ?

Nos confrères du New York Times ont révélé qu’Uber avait découvert, ce jeudi 15 septembre, une intrusion, en profondeur, dans son système d’information (SI). Sans s’étendre sur l’ampleur de la compromission de son SI, Uber a reconnu être confronté à un « incident de cybersécurité » et avoir pris contact avec les forces de l’ordre.

Selon Corben Leo, responsable du développement commercial de Zellic, tout a commencé par une opération d’ingénierie sociale ayant permis à l’assaillant d’obtenir un accès VPN au SI d’Uber. Le pirate lui a expliqué avoir eu accès à un script PowerShell – sur un système de partage de fichiers – qui contenait les identifiants d’un compte administrateur du système de gestion des accès à privilèges Thycotic d’Uber : « en utilisant cela, j’ai pu extraire des secrets additionnels pour tous les services », y compris un contrôleur de domaine, le système d’authentification forte Duo, celui des accès OneLogin, mais également les environnements AWS et GSuite.

Sam Curry, chasseur de bugs, a pour sa part constaté qu’un attaquant – vraisemblablement le même – avait réussi à détourner le compte HackerOne – une plateforme de Bug Bounty – d’un collaborateur d’Uber pour en commenter tous les tickets. De quoi également lui donner probablement accès à tous les rapports de chasse aux bugs reçus par Uber. L’attaquant semble également avoir réussi à accéder à l’instance Slack d’Uber.

Le pirate a partagé, avec VX-Underground, des captures d’écran afin d’appuyer ses allégations. Celles-ci suggèrent l’obtention d’un accès aux espaces de travail Slack d’Uber, mais également à sa console d’administration SentinelOne, ou encore vSphere, sans compter des données financières.

Une capture d’écran obtenue par Colton Seal, PDG et co-fondateur de Routefusion, suggère que l’attaquant a même annoncé son intrusion dans l’un des workspaces Slack d’Uber… où il ne semble pas avoir été pris au sérieux.

Interrogé par nos confrères du New York Times, l’assaillant – dont l’identifiant Telegram a été repéré – a déclaré être âgé de 18 ans et avoir « travaillé sur ses compétences en cybersécurité pendant de nombreuses années ». Et d’affirmer avoir compromis le système d’information d’Uber « parce que l’entreprise a une sécurité faible ».

Précisant la méthode d’ingénierie sociale employée, le pirate a indiqué à l’expert Kevin Beaumont avoir « spammé » un employé d’Uber pendant une heure avec des demandes d’authentification push avant de le contacter sur WhatsApp, affirmant travailler avec les équipes IT d’Uber, pour enfin obtenir de sa victime qu’elle accepte la demande d’authentification et enrôle son terminal.

Et Kevin Beaumont de rappeler que le groupe Lapsus$ avait précédemment affirmé avoir employé une méthode comparable pour obtenir un enrôlement d’appareil dans les systèmes d’authentification forte (MFA) de certaines de ses victimes, dont Microsoft.

Steve Elovitz, de Mandiant, avait quant à lui, fin février, alerté sur « une quantité croissante d’exploitation des notifications push des systèmes de MFA » par des attaquants, « spammant jusqu’à ce que les utilisateurs approuvent ».