Búsqueda de Ciberamenazas

LastPass: un keylogger en un PC domestico abrió un almacén de contraseñas corporativo

No hay fecha de la actualización, pero por lo que hemos podido averiguar, LastPass acaba de publicar [2023-02-27] un breve documento titulado Incident 2 – Additional details of the attack.

Como probablemente recuerdes, ya que la mala noticia surgió justo antes de las fiestas navideñas de 2022, LastPass sufrió lo que en la jerga se conoce como un ataque de movimiento lateral.

En pocas palabras, el movimiento lateral no es más que una forma elegante de decir: “Una vez que entres en el vestíbulo, puedes escabullirte hasta un rincón oscuro de la oficina de seguridad, donde puedes esperar en las sombras hasta que los guardias se levanten a hacer el té, momento en el que puedes coger una tarjeta de acceso de la estantería que hay junto a donde suelen sentarse, lo que te permitirá entrar en la zona segura que hay junto al guardarropa, donde encontrarás las llaves de la caja fuerte”.

Las incógnitas desconocidas

Como hemos comentado anteriormente, LastPass descubrió, en agosto de 2022, que alguien había entrado en su red DevOps (operaciones de desarrollo) y se había llevado información confidencial, incluido el código fuente.

Pero eso es un poco como volver de vacaciones y encontrarte una ventana rota y tu videoconsola favorita desaparecida, sin que nada más esté obviamente mal.

Sabes lo que sabes, porque hay cristales rotos en el suelo de la cocina y un hueco con forma de consola donde antes estaba tu querida PlayBox-5/360.

Pero no sabes, y no puedes averiguar fácilmente lo que no sabes, si los ladrones escanearon diligentemente o sustituyeron todos los documentos personales del cajón de tu escritorio, o hicieron fotos de buena calidad de los certificados educativos de la pared, o encontraron copias de la llave de la puerta principal que habías olvidado que tenías, o entraron en tu cuarto de baño y utilizaron tu cepillo de dientes para… bueno, simplemente no puedes estar seguro de lo que no hicieron con él.

El actor de la amenaza pivota

En el caso de LastPass, la brecha inicial fue seguida inmediatamente, como dice ahora la empresa, por un largo periodo en el que los atacantes husmearon en otros lugares en busca de más ciberbotín:

El actor de la amenaza se alejó del primer incidente, que finalizó el 2022-08-12, pero participó activamente en una nueva serie de actividades de reconocimiento, enumeración y exfiltración relacionadas con el entorno de almacenamiento en la nube que se extendieron desde el 2022-08-12 hasta el 2022-10-26.

La pregunta candente, al parecer, era: “¿Cómo fue posible ese pivotaje, dado que las credenciales de acceso necesarias estaban encerradas en una cámara acorazada de contraseñas seguras a la que sólo tenían acceso cuatro desarrolladores?”.

(La palabra pivotar en este contexto no es más que una forma jerga de decir: “Dónde fueron después los ladrones”).

LastPass cree ahora que tiene la respuesta, y aunque es una mala imagen para la empresa que la hayan pirateado de esta manera, repetiremos lo que dijimos en el vídeo promocional del podcast de la semana pasada con respecto a la reciente filtración de Coinbase, donde también se robó el código fuente:

El desafortunado empleado de Coinbase fue víctima de phishing, pero parece que el desafortunado desarrollador de LastPass fue víctima de keylogging:

[El acceso a la contraseña de la bóveda] se consiguió atacando el ordenador doméstico del ingeniero DevOps y explotando un paquete de software multimedia de terceros vulnerable, que permitía la ejecución remota de código y permitía al actor de la amenaza implantar un keylogger. El actor de la amenaza pudo capturar la contraseña maestra del empleado mientras la introducía, después de que el empleado se autenticara con MFA, y obtener acceso a la bóveda corporativa de LastPass del ingeniero de DevOps.

Lamentablemente, no importa lo compleja, larga, aleatoria o difícil de adivinar que sea tu contraseña si los atacantes pueden grabarte tecleándola.

(No, no estamos seguros de por qué aparentemente no se exigía 2FA para abrir la bóveda corporativa, además del 2FA utilizado cuando el empleado se autenticó por primera vez).

¿Qué hacer?

  • Parchear pronto, parchear a menudo, parchear en todas partes. Esto no siempre ayuda, por ejemplo si tus atacantes tienen acceso a un exploit de día cero para el que aún no existe parche. Pero la mayoría de las vulnerabilidades nunca se convierten en día cero, lo que significa que si parcheas con prontitud, con mucha frecuencia te adelantarás a los delincuentes. De todos modos, especialmente en el caso de un día cero, ¿por qué dejarte expuesto ni un momento más de lo necesario?
  • Activa el 2FA siempre que puedas. Esto no siempre ayuda, por ejemplo si te atacan a través de un sitio de phishing que te engaña para que entregues tu contraseña habitual y tu código de un solo uso actual al mismo tiempo. Pero a menudo impide que las contraseñas robadas basten por sí solas para organizar nuevos ataques.
  • No esperes a cambiar las credenciales o restablecer las semillas 2FA después de un ataque con éxito. No somos partidarios de los cambios regulares y forzados de contraseña cuando no hay una necesidad obvia, solo por el bien del cambio. Pero somos partidarios de un enfoque de cambio temprano, cambio en todas partes, cuando sabes que los ladrones han entrado por algún sitio.

Ese ladrón que te robó la videoconsola probablemente la cogió y echó a correr, para que no le pillaran, y no perdió el tiempo entrando en tu cuarto de baño, y mucho menos cogiendo tu cepillo de dientes, pero creemos que vas a sustituirlo de todos modos.

Ahora que lo hemos mencionado.