Enquête Au cœur du piratage d’Uber

Leaks - Cet article fait partie d'une série.

Partie 1: Leak Twitch 2021

Partie 2: Cet article

📣 Depuis notre article, le blog officiel d’Uber s’est exprimé sur l’incident

Uber fâché avec sa sécurité ? #

Pour entamer notre enquête, nous avons commencé par remonter l’historique des intrusions sécurité de l’entreprise. En voici un court résumé.

2014 #

Fuite d’un token sur un dépôt GitHub publique ayant permis l’accès à une base de données contenant les données de 100 000 conducteurs.

2016 #

Vol des données de 600 000 conducteurs américains et de 57 millions d’utilisateurs des services de l’entreprise. À la suite, l’entreprise tentera d’acheter le silence des pirates et la destruction des données qu’ils ont collectées contre 100 000$.

2020 #

L’ex-responsable de la sécurité d’Uber Joe Sullivan est poursuivi par la justice américaine pour obstruction à la justice concernant la fuite de 2016.

Des chercheurs en cybersécurité découvrent un jeu de données comprenant les identifiants et des informations personnelles de 579 utilisateurs et 100 livreurs du service Uber Eat.

2022 #

Uber est bousculé par la publication d’enquêtes réalisée par plusieurs journaux regroupée sous l’appellation Uber files. Les fichiers ayant servi à l’enquête proviennent d’un ancien lobbyiste du groupe ayant volé pas moins de 124 000 documents interne. On y a retrouvé les mails des dirigeants, des présentations, des notes et des factures.

Un lourd historique #

À travers son historique compliqué, Uber semble fâché avec le concept de protection des données de ces utilisateurs. Soucieuse de sa réputation, les pratiques flirtant avec l’illégalité interpellent.

Tentative d’achat de pirate hors cadre légal et sans garantie de succès
Vol d’emails massif par un lobbyiste sans compétences techniques et sans être détecté

On peut donc se poser des questions sur l’étanchéité du système d’information ainsi que sur le respect des législations régissant l’utilisation des données personnelles.

Que s’est-il passé durant le hack ? #

Nous sommes le 15 septembre 2022 quand les réseaux sociaux s’enflamment avec la publication de cet article du New York Times.

On y apprend qu’un pirate se baladerait dans le système d’information, capture d’écran de consoles d’administration à l’appui.

Captures d’écran partagées par le pirate

Le pirate se présente comme un jeune homme de 18 ans ayant réussi à pénétrer la forteresse via une technique d’ingénierie sociale. Cependant, peu de détails sur la technique en question sont révélés.

Il contactera par la suite les équipes d’Uber en annonçant qu’il avait compromis la sécurité de l’entreprise.

Capture d’écran du Slack interne

Au début pris pour une blague, un email envoyé en interne demandant aux employés de garder le silence lèvera finalement le doute.

Le lendemain, après un premier communiqué confirmant l’enquête, l’entreprise déclarera n’avoir pas détecté d’accès aux données des utilisateurs et que ces services internes était de nouveau en ligne.

Quel impact sur le SI ? #

En analysant les images, nous découvrons que le pirate a un accès complet au système d’information de l’entreprise. Nous pouvons ainsi lister les services auxquels il a pu avoir accès.

Console AWS et Vsphere - Accès aux serveurs et machines virtuelles
Console Confluence - Accès à la documentation interne
Compte HackerOne - Accès aux informations confidentielles des dernières failles remonté à la plateforme (BugBounty)
Console SentinelOne - Accès au panel d’administration des antivirus des postes de travail
Console Slack - Accès à la messagerie interne
Console GSuite - Accès aux documents interne, emails, calendriers

On remarque d’ailleurs la grande quantité de documents hébergés sur la suite de Google. Près d'1.11 pétabit de données.

Certains employés ont expliqué avoir constaté l’arrêt de certains services en interne, mais l’intrusion n’a pas entraîné d’interruption de service.

La recette #

Un des points les plus obscurs de cette histoire est comment le hacker est arrivé à s’introduire dans le système informatique.

Darknet nous voilà #

Plusieurs sources ayant analysé les captures d’écran partagées par le pirate s’accordent sur le fait que le hacker aurait acheté sur le darknet les identifiants de connexion d’un employer d’Uber quelques jours avant l’attaque.

On peut retrouver dans les téléchargements du pirate des fichiers de logs vendus sur des plateformes illégales. Ils proviennent de malwares (Racoon et Vidar) déployés par d’autres groupes de pirates ayant contaminé des postes et exfiltrant des données de connexion.

Analyse des logs achetés par le pirate

Sur cette dernière image, Group-IB a acheté les mêmes échantillons que le pirate pour en vérifier le contenu. On y retrouve très explicitement des identifiants pour accéder à la plateforme d’authentification d’Uber.

Ingénierie sociale ? #

Uber comme beaucoup de grandes entreprises utilise bien une méthode de double authentification. Ainsi, le pirate ne peut pas se connecter avec ces identifiants.

Nous supposons que c’est à ce moment-là qu’il aurait recouru à une méthode d’ingénierie sociale. Plusieurs rumeurs expliquent qu’il serait arrivé à se faire passer pour une personne du service informatique et réussi à faire ajouter son téléphone comme source de confiance. Ainsi, il aurait pu générer des codes lui donnant un accès complet au compte de l’employer.

D’autres techniques populaires existent notamment en spammant de demandes d’approbations l’utilisateur jusqu’à acceptation.

Secret, où te caches-tu ? #

L’accès récupéré, le hacker se serait connecté au VPN de l’entreprise et aurait commencé à scanner le réseau interne. Sur ce dernier, il aurait découvert une collection de scripts PowerShell dont un contenant des identifiants Admin de l’outil Thycotic (PAM).

Échanges entre le pirate attaquant Uber et un autre hacker

Thycotic est un outil permettant de gérer les droits d’accès des applications internes à Uber. Le pirate a donc utilisé cet outil comme pivot pour accéder au reste des applications du groupe.

Profil et motivations du hacker #

Après recoupement de plusieurs sources et avec nos indices, le profil du hacker semble plutôt cohérent.

Il s’agirait d’un jeune homme souhaitant créer un buzz autour de sa réussite. Il annoncera lui-même avoir fait ça pour le fun et qu’il trouvait la sécurité de l’entreprise faible.

L’intrusion du pirate pourrait lui coûter de nombreuses années de prison pour un court moment rempli d’adrénaline.

L’essentiel à retenir #

Le cas Uber illustre parfaitement quelques points sécurité à considérer.

Notamment, la nécessité de former contre les techniques de manipulation. Une fois la sensibilisation passée, un rafraîchissement de régulier des pratiques du moment est primordial.

Mais aussi les dangers de laisser des secrets dans un script d’administration. Surtout si ce dernier est facilement accessible. D’autres méthodes de gestion des secrets existent.

Conclusion #

Cette séquence d’attaque est un bon cas d’école. Elle montre le déroulement d’une méthode simple en la substance, néanmoins diablement efficace. Les solutions de sécurité n’ont pas permis de détecter l’attaque. L’usurpation d’identité d’un administrateur a parfaitement réussi à contourner les mesures en place.

Face à ce type de menace, nous nous sentons tous concernés et gardons une pensée pour les équipes encore en crise.

L’entreprise traverse une énième crise à tel point que certains internautes ont rapidement croisé des annonces de postes haut placés dans les équipes sécurité d’Uber.

Visiblement, certains employés ont servi de fusible dans l’opération.

Merci de nous avoir lu jusqu’au bout, espérons que cette enquête vous plaira autant que la passion que nous avons mise dedans.

Et merci à mes relecteurs favoris Nicolas, Sébastien et Quentin :)

Source #

Leaks - Cet article fait partie d'une série.

Partie 1: Leak Twitch 2021

Partie 2: Cet article