Хакеры украли сеанс единого входа инженера с поддержкой 2FA и взломали CircleCI

Хакеры взломали CircleCi в декабре после того, как компьютер инженера компании был заражен вредоносной программой для кражи информации. Похищенные данные использовались их файле cookie сеанса единого входа с поддержкой 2FA. Это позволило злоумышленникам получить доступ к внутренним системам компании.

Хакеры украли сеанс единого входа инженера с поддержкой 2FA и взломали CircleCI. Фото: СС0

CircleCI — это платформа непрерывной интеграции и доставки, которую можно использовать для реализации методов DevOps.

Ранее в этом месяце администрация CircleCi сообщила, что у них произошел инцидент с безопасностью, и предупредила клиентов о необходимости ротации своих токенов и секретов.

В новом отчете об инциденте безопасности, посвященном атаке, CircleCi сообщает, что они впервые узнали о несанкционированном доступе к своим системам после того, как клиент сообщил, что его токен GitHub OAuth был скомпрометирован.

После этого команда CircleCi автоматически изменила токены GitHub OAuth для своих клиентов.

4 января внутреннее расследование показало, что 16 декабря компьютер инженера компании был заражен вредоносной программой для кражи информации, которую антивирусное программное обеспечение компании не обнаружило.

Это вредоносное ПО смогло украсть файл cookie корпоративного сеанса, который уже был аутентифицирован с помощью 2FA, что позволило злоумышленнику войти в систему как пользователь без повторной аутентификации с помощью 2FA.

Из сообщения компании:

«Наше расследование показывает, что вредоносная программа смогла выполнить кражу файлов cookie сеанса, что позволило им выдать себя за целевого сотрудника в удаленном месте, а затем расширить доступ к подмножеству наших производственных систем».

По словам представителей CircleCi, используя привилегии инженера, 22 декабря хакер начал красть данные из некоторых баз данных и хранилищ компании, включая переменные среды клиента, токены и ключи.

Хакер также украл ключи шифрования, сбросив их из запущенных процессов, что потенциально позволило ему расшифровать зашифрованные украденные данные.

Узнав о краже данных, компания начала оповещать клиентов по электронной почте, предупреждая их об изменении всех токенов и секретов, если они вошли в систему в период с 21 декабря 2022 года по 4 января 2023 года.

В CircleCi заявляют, что они поменяли все токены, связанные с их клиентами, включая токены Project API, Personal API и GitHub OAuth. Компания также сотрудничала с Atlassian и AWS, чтобы уведомлять клиентов о возможно скомпрометированных токенах Bitbucket и токенах AWS.

По словам представителей CircleCi, чтобы еще больше укрепить свою инфраструктуру, они добавили дополнительные средства обнаружения поведения вредоносного ПО для кражи информации в свои антивирусные системы и системы управления мобильными устройствами (MDM).

Компания также ограничила доступ к своим производственным средам для меньшего числа людей и повысила безопасность своей реализации 2FA.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме