.
JumpCloud, um serviço de gerenciamento de TI baseado em nuvem que lista Cars.com, GoFundMe e Foursquare entre seus 5.000 clientes pagantes, sofreu uma violação de segurança realizada por hackers que trabalham para um estado-nação, disse a empresa na semana passada.
O ataque começou em 22 de junho como uma campanha de spear phishing, revelou a empresa na última quarta-feira. Como parte desse incidente, disse a JumpCloud, o “sofisticado agente de ameaças patrocinado pelo estado-nação” obteve acesso a uma parte não especificada da rede interna da JumpCloud. Embora os investigadores da época não tenham encontrado evidências de que algum cliente tenha sido afetado, a empresa disse que alterou as credenciais da conta, reconstruiu seus sistemas e tomou outras medidas defensivas.
Em 5 de julho, os investigadores descobriram que a violação envolvia “atividade incomum na estrutura de comandos para um pequeno grupo de clientes”. Em resposta, a equipe de segurança da empresa executou uma rotação forçada de todas as chaves de API do administrador e notificou os clientes afetados.
Enquanto os investigadores continuavam suas análises, eles descobriram que a violação também envolvia uma “injeção de dados na estrutura de comandos”, que a divulgação descreveu como o “vetor de ataque”. A divulgação não explicou a conexão entre a injeção de dados e o acesso obtido pelo ataque de spear phishing em 22 de junho. A Ars pediu detalhes ao JumpCloud PR e os funcionários responderam enviando a mesma postagem de divulgação que omite esses detalhes.
Os investigadores também descobriram que o ataque foi extremamente direcionado e limitado a clientes específicos, que a empresa não identificou.
A JumpCloud diz em seu site que possui uma base global de usuários de mais de 200.000 organizações, com mais de 5.000 clientes pagantes. Eles incluem Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance e Foursquare. A JumpCloud levantou mais de US$ 400 milhões de investidores, incluindo Sapphire Ventures, General Atlantic, Sands Capital, Atlassian e CrowdStrike.
Na divulgação da semana passada, o diretor de segurança da informação da JumpCloud, Bob Phan, escreveu:
Em 27 de junho, às 15h13 UTC, descobrimos atividade anômala em um sistema de orquestração interna que rastreamos até uma sofisticada campanha de spear phishing perpetrada pelo agente da ameaça em 22 de junho. Essa atividade incluía acesso não autorizado a uma área específica de nossa infraestrutura. Não vimos evidências de impacto no cliente naquele momento. Com muita cautela, alternamos credenciais, reconstruímos a infraestrutura e tomamos várias outras ações para proteger ainda mais nossa rede e perímetro. Além disso, ativamos nosso plano de resposta a incidentes preparado e trabalhamos com nosso parceiro de resposta a incidentes (IR) para analisar todos os sistemas e logs em busca de atividade potencial. Foi também nessa época, como parte de nosso plano de RI, que contatamos e envolvemos a polícia em nossa investigação.
As operações de segurança da JumpCloud, em colaboração com nossos parceiros de RI e policiais, continuaram a investigação forense. Em 5 de julho às 03:35 UTC, descobrimos uma atividade incomum na estrutura de comandos para um pequeno conjunto de clientes. Nesse momento, tínhamos evidências do impacto no cliente e começamos a trabalhar de perto com os clientes afetados para ajudá-los com medidas de segurança adicionais. Também decidimos executar uma rotação forçada de todas as chaves de API do administrador a partir de 5 de julho às 23h11 UTC. Notificamos imediatamente os clientes sobre esta ação.
A análise contínua revelou o vetor de ataque: injeção de dados em nossa estrutura de comandos. A análise também confirmou as suspeitas de que o ataque foi extremamente direcionado e limitado a clientes específicos. O que aprendemos nos permitiu criar e agora compartilhar uma lista de IOCs (indicadores de compromisso) que observamos para esta campanha.
Estes são adversários sofisticados e persistentes com capacidades avançadas. Nossa linha de defesa mais forte é por meio do compartilhamento de informações e da colaboração. É por isso que é importante para nós compartilhar os detalhes desse incidente e ajudar nossos parceiros a proteger seus próprios ambientes contra essa ameaça. Continuaremos aprimorando nossas próprias medidas de segurança para proteger nossos clientes de ameaças futuras e trabalharemos em estreita colaboração com nosso governo e parceiros do setor para compartilhar informações relacionadas a essa ameaça.
A empresa também publicou uma lista de endereços IP, nomes de domínio e hashes criptográficos usados pelo invasor que outras organizações podem usar para indicar se foram alvo dos mesmos invasores. A JumpCloud ainda não nomeou o país de origem ou outros detalhes sobre o grupo de ameaças responsável.
.
