Uber und Rockstar Games: Prominente Opfer einer simplen Angriffsmasche

Erst vor wenigen Stunden bestätigte der Videospiel-Hersteller Rockstar Games eine Cyberattacke, bei der unter anderem 3 GB Videomaterial aus dem kommenden Spieleblockbuster „Grand Theft Auto VI“ entwendet wurden. Während weitere Details noch abgewartet werden müssen, behauptet der Angreifer, dieselbe Gruppe zu repräsentieren, die Ende letzter Woche in die internen Systeme von Uber eingedrungen ist; mittlerweile schreibt Uber den Angriff der Cyberkriminellengruppe LAPSUS$ zu.

Im Fall von Uber erfolgte der erste Einbruch, nachdem die Angreifer das Firmenpasswort eines Vertragspartners im Dark Web gekauft hatten. Unter Umgehung der Multifaktorauthentifizierung des Auftragnehmers (ein wachsendes Problem, wie Sophos kürzlich berichtete) konnte sich der Angreifer dann Zugang zu den internen Kommunikationskanälen der Mitarbeiter wie zum Beispiel Slack verschaffen. Über die Angriffsstrategie auf Rockstar Games ist bislang wenig bekannt, aber der Angreifer behauptet ebenfalls, dass Slack als Hintertür diente.

Chester Wisniewski, Principal Research Scientist bei Sophos, zu den Attacken:

„Die Angriffe auf Uber und Rockstar Games fühlen sich an, als würden wir die Lapsus$-Angriffe Ende 2021 und Anfang 2022 noch einmal erleben. Und tatsächlich hat Uber den Verstoß gerade der Lapsus$-Gruppe zugeschrieben.

Während die Cyberattacke auf den Interactive-Entertainment-Konzern Electronic Arts im Jahr 2021 damit begann, dass Kriminelle mit gestohlene Cookies deren Slack-Kanal im Juli 2021 infiltrierten, scheint die Verletzung von Uber damit begonnen zu haben, dass eine weitere Methode zur Umgehung der Multi-Faktor-Authentifizierung mithilfe von Social Engineering verwendet wurde, um Zugang zu Slack zu erhalten. Hier bewahrheitet sich einmal mehr die Aussage, dass die Sicherheitskette nur so stark wie ihr schwächstes Glied ist – und allzu oft sind das die Menschen.

Es ist zum jetzigen Zeitpunkt noch unklar, was die anfängliche Kompromittierung bei Rockstar Games ermöglichte. Aber eine Gruppierung, die behauptet, derselbe Hacker wie Uber zu sein, hat In-Game-Aufnahmen von „GTA VI“ gepostet und behauptet, der Angriff habe mit einem Social-Engineering-Angriff begonnen, ähnlich dem Angriff auf Uber. Dies ist nicht überraschend, da es sich um eine unglaublich effektive Technik für anfängliche Kompromittierungen handelt und das Vertrauen in privilegierte Insider ausnutzt.

Sicherheit ist ein System, und es braucht Redundanz nicht anders als ein Flugzeug oder ein Raumschiff. Entsprechend muss es fehlertolerant gestaltet werden. In all diesen Fällen scheint es ausgereicht zu haben, sich als vertrauenswürdiger Insider Zugang zu verschaffen, um sich dann mit kriminellen Absichten durch verschiedenste Systeme zu schlängeln. Netzwerke müssen so konzipiert sein, dass sie die Identität und Anmeldeinformationen einer Person verifizieren, wenn sie auf einen neuen oder privilegierten Bereich zugreifen.

Auch wenn noch nicht alle Details über die Angriffe bekannt sind, dienen sie bereits jetzt als gute Erinnerung, Mitarbeiter über die Sicherheitskultur auf dem Laufenden zu halten und zeigen einmal mehr auf, wie wichtig es ist, für Benutzer sensibler Bereiche zusätzlichen Authentifizierung einzuführen. Social Engineering kann bestimmte Multi-Faktor-Authentifizierungslösungen umgehen, es lohnt sich also auf jeden Fall, strengere Richtlinien für den Zugriff auf kritische Systeme einzuführen.“

Weitere (englische) Ressourcen zum Thema:

A breakdown of the Uber breach on Naked Security + additional analysis from Chester Wisniewski
What to know about underground marketplaces like Genesis where attackers purchased the Uber contractor’s Slack password
More on bypassing MFA with stolen session cookies