Attaqué par l’intermédiaire de son sous-traitant Sitel, Okta aurait-il dû communiquer avant d’avoir à reconnaître l’évidence ? On est en droit de se poser la question. À plus forte raison depuis qu’ont filtré des éléments relatifs à ladite attaque. Plus précisément, une chronologie des événements, telle que l’a établie l’enquête de Mandiant.
Constat : l’offensive a impliqué des outils populaires chez les cybercriminels. En l’occurrence, Mimikatz, Process Explorer et Process Hacker. Chacun d’entre eux a été installé depuis l’environnement compromis, après les avoir… recherchés sur Bing, puis téléchargés sur GitHub.
Du côté d’Okta, la chronologie communiquée au public commence le 20 janvier. L’entreprise affirme avoir reçu sa première alerte ce jour-là. Objet : une tentative – infructueuse – d’ajout d’un mot de passe sur le compte Okta d’un ingénieur support de Sitel.
D’après les observations de Mandiant, le premier événement (connexion à l’environnement cible) intervient le 16 janvier à 0 h 33 (UTC ; heure de Londres). Les « grands travaux » de LAPSUS$ commencent véritablement le 19, avec une connexion RDP suivie d’une élévation de privilèges grâce à l’outil UserProfileScvEoP.exe, destiné à exploiter la faille CVE-2021-34484.
Environ 24 heures plus tard surviennent les actions suivantes : création d’un compte, latéralisation par RDP, puis désactivation de l’agent EDR FireEye (après récupération et exécution successives de Process Explorer et de Process Hacker). Mimikatz entre ensuite en scène pour récupérer des identifiants et les exfiltrer vers Pastebin.
Le 20 janvier, vers 23 heures, intervient la première connexion au compte Office 365 de l’ingénieur support. Rapidement, ce compte accède, via SecureLink, à un fichier sensible. En l’occurrence, un tableau Excel nommé DomAdmins-LastPass. Explicite comme nom de fichier ? En tout cas, quelques heures plus tard, le compte de l’ingénieur parvient à en créer un autre, et à l’ajouter au groupe TenantAdmins (admins du locataire). Rapidement, ce nouveau compte crée une règle : transférer, vers des adresses sur lesquelles les cybercriminels ont la main, tous les mails parvenant sur le locataire.
La dernière connexion à l’Office 365 de Sitel – plus précisément de Sykes, entreprise acquise en 2021 et qui assure le support Okta – se produit vers 14 heures le 21 janvier. Après quoi Sitel orchestre une réinitialisation globale des mots de passe.
Du côté d’Okta, on affirme ne pas avoir saisi l’étendue du problème une fois la première alerte reçue. « Nous aurions réagi différemment », assure l’entreprise. Sans expliquer pourquoi elle n’a pas ouvert la communication à partir du 22 mars, une fois que Sitel lui avait remonté le rapport complet de Mandiant.
Photo d’illustration © Okta
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…