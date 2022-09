septembre 2022 par Mickael Walter, Analyste Sécurité au CERT d’I-TRACING

Dans ce contexte Mickael Walter, Analyste Sécurité au CERT (Computer Emergency Response Team) d'I-TRACING, réagit :

« Alors qu’Uber avait une solution d’authentification multi facteurs déployée sur le VPN, l’attaquant a fait en sorte qu’un employé d’Uber valide sa connexion sur son application en « jouant sur la fatigue ». Cette technique consiste à demander en boucle à l’utilisateur de s’authentifier avec un second facteur, ce qui concrètement lui envoie une notification push à chaque tentative, puis il l’a contacté en prétextant être du support IT d’Uber. L’utilisateur a finalement validé le second facteur par fatigue et divulgué ses identifiants.

L’attaquant a ainsi pu accéder et scanner le réseau local puis découvrir un script qui contenait les identifiants d’un compte administrateur. Avec l’élévation de ses privilèges, il a ensuite compromis la solution d’IAM, le programme de bug bounty (il a donc eu accès à tous les bugs rapportés à Uber), Google Suite, l’EDR Sentinel One, l’instance Slack et plusieurs outils internes d’Uber.

C’est donc une compromission en profondeur qui a eu lieu. A ce stade, il est difficile de dire s’il y a des motivations d’exfiltration de données puisque le pirate passe beaucoup de temps à se vanter de l’attaque ce qui laisserait croire qu’il recherche surtout la célébrité. Même s’il semblait en avoir la possibilité technique. L’attaquant s’est principalement servi de ses accès pour provoquer Uber en postant divers messages sur l’ensemble des canaux auxquels il avait accès. Il prétend sur le Slack de l’entreprise avoir volé des données depuis le serveur Confluence de l’entreprise ainsi que possiblement du code source. »