우버(Uber)는 지난주 발생한 보안 사고와 관련하여 악명 높은 랩서스(LAPSUS$) 해킹 그룹과 연계된 것으로 생각되는 위협 행위자를 지목하면서 자세한 내용을 공개했다.
우버는 자사 블로그 업데이트에서 "이 그룹은 일반적으로 기술 회사를 대상으로 유사한 기술을 사용하며 2022년에만 마이크로소프트, 시스코, 삼성, NVIDIA 및 Okta 등 핵심기업들을 침해했다."라고 말했다.
더해커뉴스에 따르면, 금전을 목적으로 활동하는 LAPSUS$는 2022년 3월 런던 시 경찰이 16세에서 21세 사이의 LAPSUS$ 갱단으로 의심되는 7명을 체포하기 위해 움직였을 때 큰 타격을 입었다. 몇 주 후, 이들 중 2명이 기소되었다고 전했다.
보도에 따르면, 우버 해킹 사건의 배후로 지목되는 18세 Tea Pot이라는 이름의 해커는 주말 동안 비디오 게임 제조업체인 Rockstar Games에 침입한 것으로 의심받고 있다.
우버는 사건에 대한 조사가 계속됨에 따라 "여러 주요 디지털 포렌식 회사"와 협력하고 있으며 이 문제에 대해 미국 연방수사국(FBI) 및 법무부와 협력하고 있다고 말했다.
이번 공격이 어떻게 전개되었는지에 대해 "EXT 계약자"가 악성코드로 개인 기기를 손상시키고 다크 웹에서 회사 계정 자격 증명을 훔치고 판매했다고 말했으며, 이는 Group-IB의 이전 보고서를 뒷받침한다.
지난 주 싱가포르에 본사를 둔 Group-IB는 브라질과 인도네시아에 위치한 우버 직원 중 최소 2명이 Raccoon 및 Vidar 정보 도용에 감염되었다고 언급했다.
회사 측은 "공격자가 계약자의 우버 계정에 로그인을 반복적으로 시도했다. 그때마다 계약자는 two-factor 로그인 승인 요청을 받았는데, 처음에는 액세스를 차단했다. 하지만 결국 계약자가 이를 받아들였고, 공격자는 성공적으로 로그인했다."고 설명했다.
발판을 마련한 이 공격자는 다른 직원 계정에 접속해 구글 워크스페이스, 슬랙 등 '여러 내부 시스템'에 대해 높은 권한을 부여한 것으로 알려졌다.
회사는 또한 사고 대응 조치의 일환으로 영향을 받는 도구 비활성화, 서비스 키 회전, 코드베이스 잠금, 손상된 직원 계정에서 우버 시스템에 액세스하거나 해당 계정에 대한 암호 재설정 발급을 차단하는 등 여러 조치를 취했다고 밝혔다.
우버는 잠재적으로 얼마나 많은 직원 계정이 손상되었는지 공개하지 않았지만, 허가되지 않은 코드 변경이 이루어지지 않았으며 해커가 고객 대면 앱을 지원하는 운영 시스템에 액세스할 수 있다는 증거가 없다고 거듭 강조했다.
그렇긴 하지만, 이 십대 해커로 추정되는 공격자는 특정 송장을 관리하기 위해 재무팀이 사용하는 사내 도구에서 불특정 다수의 내부 슬랙 메시지와 정보를 다운로드했다고 한다.
우버는 또 공격자가 해커원(HackerOne) 버그 보고서에 접속한 사실을 확인했지만 "공격자가 접근할 수 있었던 버그 보고서는 모두 수정됐다"고 언급했다.
KnowBe4의 데이터 기반 방어 에반젤리스트(evangelist)인 Roger Grimes는 "푸시 기반 다중 요인 인증(MFA)의 복원력을 높이는 방법은 단 하나이며, 이는 푸시 기반 MFA를 사용하는 직원들에게 이에 대한 일반적인 공격 유형, 공격 탐지 방법, 공격 발생 시 완화 및 보고 방법을 교육하는 것이다."라고 말했다.
Cerberus Sentinel의 솔루션 아키텍처 담당 부사장인 Chris Clements는 MFA가 "실버 총알"이 아니며 모든 요소가 동일하게 만들어지는 것은 아니라는 것을 인식하는 것이 조직에게 중요하다고 말했다.
rSMS 기반 인증에서 SIM 스와핑 공격과 관련된 위험을 완화하기 위해 앱 기반 접근 방식으로 전환되었지만, 우버와 시스코에 대한 공격은 한때 오류가 없다고 여겨졌던 보안 제어가 다른 방법으로 우회되고 있다는 것을 강조한다.
위협 행위자들이 중간 상대(AiTM) 프록시 툴킷 및 MFA 피로(일명 prompt bombing)와 같은 공격 경로에 의존하여 의심하지 않는 직원을 속여 MFA 코드를 실수로 넘겨주거나 액세스 요청을 승인하도록 한다는 사실은 피싱 방지 방법을 채택할 필요성을 나타낸다.
Clements는 "유사한 공격을 막기 위해 조직들은 사용자가 인증 확인 프롬프트를 무작정 승인할 위험을 최소화하는 번호 일치와 같은 보다 안전한 버전의 MFA 승인으로 전환해야 한다"고 말했다.
또한 그는 "공격자가 단 한 명의 사용자만 공격하면 상당한 피해를 볼 수 있다는 것이 현실"이라며 강력한 인증 메커니즘이 "타협을 방지하기 위한 많은 심층 방어 제어 중 하나가 되어야 한다"고 강조했다.
★정보보안 대표 미디어 데일리시큐!★