Security Forensics Pericia

Hacker da Uber pode ser integrante do grupo Lapsus$

Da Redação
20/09/2022

A Uber incluiu o grupo de cibercrime Lapsus$ entre os suspeitos da invasão à sua rede: numa atualização sobre o incidente publicada na tarde do dia 16, a empresa afirma acreditar que “esse invasor (ou invasores) seja afiliado a um grupo de hackers chamado Lapsus$, que tem estado cada vez mais ativo no último ano. Esse grupo normalmente usa técnicas semelhantes para atingir empresas de tecnologia e, somente em 2022, violou Microsoft, Cisco, Samsung, Nvidia e Okta, entre outras. Também há relatos no fim de semana de que esse mesmo ator violou a fabricante de videogames Rockstar Games. Estamos em estreita coordenação com o FBI e o Departamento de Justiça dos EUA sobre esse assunto e continuaremos a apoiar seus esforços”.

Veja isso
Veja como um hacker invadiu sistemas de TI do Uber
Hackers contam como invadiram a Uber em 2016

A empresa informou que está trabalhando com várias empresas “líderes em perícia digital” e que está “aproveitando” a oportunidade para “continuar a fortalecer nossas políticas, práticas e tecnologia para proteger ainda mais a Uber contra futuros ataques”.

Na mesma publicação, a Uber explica os acontecimentos que culminaram com a invasão. Segundo a empresa, um fornecedor do Uber EXT teve sua conta comprometida por um invasor: “É provável que o invasor tenha comprado a senha corporativa da Uber do contratado na dark web, depois que o dispositivo pessoal do contratado foi infectado com malware, expondo essas credenciais. O invasor tentou repetidamente fazer login na conta Uber do contratado. A cada vez, o contratado recebia uma solicitação de aprovação de login de dois fatores, que inicialmente bloqueava o acesso. Eventualmente, no entanto, o contratado aceitou um e o invasor fez o login com sucesso”.

A partir daí, informa a empresa, o invasor acessou várias outras contas de funcionários que, em última análise, deram ao invasor permissões elevadas para várias ferramentas, incluindo G-Suite e Slack. O invasor postou uma mensagem em um canal Slack de toda a empresa, que muitos de vocês viram, e reconfigurou o OpenDNS da Uber para exibir uma imagem gráfica para os funcionários em alguns sites internos.

Compartilhar: