Touché par deux violations de données l'année dernière, LastPass, a révélé que les données exfiltrées lors de la première intrusion, découverte en août, ont servi pour cibler l'ordinateur personnel de l'un de ses ingénieurs DevOps et lancer avec succès une deuxième cyberattaque, détectée en novembre. Les cybercriminels impliqués dans les violations a infecté l'ordinateur personnel de l'ingénieur avec un enregistreur de frappe (keylogger). « C’est avec ces informations qu’il a pu mener une cyberattaque pour exfiltrer des données sensibles des serveurs de stockage que l’entreprise exploite dans le cloud d’AWS », a déclaré, lundi, le gestionnaire de mots de passe dans sa mise à jour de l'incident de cybersécurité. Si LastPass avait divulgué des informations sur les violations de données de l'année dernière, cette mise à jour révèle pour la première fois que le même attaquant était responsable des deux violations.

La première intrusion a pris fin le 12 août de l'année dernière. Cependant, LastPass indique cette fois qu’entre le 12 août et le 26 octobre 2022, l’attaquant était activement engagé dans une autre série d'activités de reconnaissance, d'énumération et d'exfiltration visant l'environnement de stockage cloud de la société. « Les tactiques, techniques et procédures (TTP) observées, ainsi que les indicateurs de compromission (IOC) du second incident ne correspondaient pas à ceux du premier. Bien que proches en termes de calendrier, il n’était pas évident au départ que les deux incidents soient directement liés », a déclaré LastPass. Il ajoute que l’attaquant n'a plus eu d'activité après le 26 octobre. Le développeur dont l'ordinateur personnel a été infecté par le keylogger était l'un des quatre ingénieurs devops de l'entreprise à avoir accès aux clés de déchiffrement des buckets Amazon S3 chiffrés.

Vol du mot de passe principal d'un ingénieur de LastPass

« L'acteur de la menace a pu capturer le mot de passe principal de l’ingénieur au moment de sa saisie, après l’authentification multifacteurs (MFA) de l’ingénieur, et accéder ainsi à son coffre-fort LastPass », a déclaré LastPass. Le cybercriminel a ensuite exporté les entrées du coffre-fort d'entreprise et le contenu des dossiers partagés, dont des notes sécurisées cryptées avec les clés d'accès et de déchiffrement nécessaires pour accéder aux sauvegardes de production AWS S3 LastPass, à d'autres ressources de stockage dans le cloud et à certaines sauvegardes de base de données critiques connexes. L’usage d’identifiants valides a rendu difficile la détection de l'activité frauduleuse par les enquêteurs de l'entreprise. « Lors de la première intrusion, en août, l'ordinateur portable d'un ingénieur logiciel a été compromis, permettant à l'acteur de la menace d'accéder à un environnement de développement basé sur le cloud et de voler le code source, des informations techniques et certains secrets du système interne de LastPass », a déclaré Karim Toubba, CEO de LastPass, dans un blog adressé aux clients. Aucune donnée de client ou de coffre-fort n'a été volée au cours de cet incident, car LastPass ne disposait d'aucune donnée de client ou de coffre-fort dans l'environnement de développement.

Les données volées, utilisées pour la deuxième violation

« Nous avons déclaré cet incident clos, mais nous avons appris par la suite que les informations volées lors du premier incident avaient été utilisées pour identifier les cibles et déclencher le second incident », a déclaré Karim Toubba. Au cours du premier incident, le pirate a pu accéder aux référentiels de développement et de code source à la demande, basés sur le cloud, de 14 des 200 référentiels de logiciels. Il a également eu accès aux scripts internes des référentiels, qui contenaient des secrets d'entreprise et des certificats, ainsi que de la documentation interne, notamment des informations techniques décrivant le fonctionnement de l'environnement de développement.

« Dans le second incident, l’attaquant a utilisé les informations volées lors de la première intrusion pour cibler un ingénieur devops senior et exploiter un logiciel tiers vulnérable pour installer un enregistreur de frappe », a déclaré le CEO de LastPass. L'acteur de la menace a exploité ces données, y compris les identifiants de l'ingénieur, pour contourner et accéder finalement aux sauvegardes du cloud. « Les données accessibles à partir de ces sauvegardes comprenaient des données de configuration du système, des secrets d'API, des secrets d'intégration de tiers et des données client cryptées et non cryptées », a déclaré le gestionnaire. L'identité de l’attaquant et sa motivation sont inconnues. « Il n'y a pas eu de contact ou de demande, et aucune activité souterraine crédible n'a été détectée pouvant indiquer que l'acteur de la menace est activement engagé dans la commercialisation ou la vente de toute information obtenue au cours de l'un des deux incidents », a déclaré LastPass.

Des mesures correctives

L’éditeur a pris plusieurs mesures pour renforcer sa sécurité à la suite de ces incidents. « Nous avons investi beaucoup de temps et d'efforts pour renforcer notre sécurité tout en améliorant les opérations de sécurité globales », a déclaré le CEO. Cela implique notamment le renforcement de la sécurité des réseaux domestiques et des ressources personnelles des ingénieurs devops, le renouvellement des identifiants critiques et à privilèges élevés, et la mise en place d’analyses personnalisées permettant de détecter les abus continus des ressources AWS. LastPass affirme qu’elle compte plusieurs millions d'utilisateurs et plus de 100 000 entreprises comme clients.