Ablauf eines peinlichen Hacks Wie Lapsus$ eine IT-Sicherheitsfirma vorführte

Okta sichert Zugänge zu Tausenden Firmennetzwerken, wurde aber selbst gehackt. Die Täter kaperten einen Dienstleister von Okta und gingen dabei wenig subtil vor. Nicht nur die IT-Branche sollte daraus lernen.
Okta: »Schwer enttäuscht«

Okta: »Schwer enttäuscht«

Foto: Dado Ruvic / REUTERS

Was ist der Plural von Lapsus – Lapsus$?

Die gleichnamige Hackergruppierung, die angeblich von einem 17-Jährigen aus der Nähe von Oxford angeführt wird, hat zuletzt mit spektakulären Einbrüchen in die Systeme großer IT-Unternehmen von sich reden gemacht: Microsoft, Vodafone, Ubisoft, Samsung, Nvidia, LG – und Okta.

Von den genannten dürfte Okta der breiten Öffentlichkeit am wenigsten bekannt sein, doch das Unternehmen hat eine besondere Rolle: Okta stellt eine sogenannte Single-Sign-on-Lösung für Tausende andere Unternehmen und Behörden zur Verfügung. Das bedeutet, über Okta können sich Angestellte in ihre Firmendienste einloggen. Und es bedeutet: Jeder Lapsus von Okta ist ein potenzielles Sicherheitsrisiko für all diese Firmen und Behörden.

Tatsächlich hat sich Sitel, ein Dienstleister von Okta, mehrere Lapsus – das ist der korrekte Plural – erlaubt und damit Lapsus$ den Weg in die eigenen sowie in der Folge Oktas Systeme leicht gemacht. Das belegen Dokumente, die der unabhängige Sicherheitsforscher Bill Demirkapi veröffentlicht hat  und über die unter anderem »Wired«  und »TechCrunch«  berichten. Sie erklären nicht alle Details des Hacks, aber sie verdeutlichen, welche Folgen ein Angriff auf eine Software-Lieferkette (supply chain attack) haben kann – und wie wenig ausgefeilt er sein muss, um schwerwiegende Folgen zu haben.

Hacker nutzen Standardwerkzeuge

Im Zentrum steht eine »intrusion timeline«, eine Zeitleiste des Hacks, die von der Sicherheitsfirma Mandiant erstellt wurde oder auf deren Daten beruht. Dieser Zeitleiste zufolge begann der Einbruch am 16. Januar um 0:33 Uhr UTC (01.33 Uhr deutscher Zeit), wobei der oder die Täter erst einige Tage später wirklich aktiv wurden.

Am 19. Januar nämlich loggten sie sich per RDP (Remote Desktop Protocol) auf dem Laptop eines Sitel-Mitarbeiters ein. RDP ist eine Fernwartungssoftware, sie zeigt Nutzern die grafische Oberfläche eines entfernten PC auf dem eigenen Gerät so an, als säßen sie direkt davor. Und Sitel ist ein Auftragsdatenverarbeiter für Okta, die Angestellten haben für ihre Support-Aufgaben Zugriff auf mehrere Anwendungen in Oktas Systemen.

Woher der oder die Täter die Zugangsdaten für den RDP-Zugriff auf den Laptop hatten, ist bisher nicht geklärt. Doch kaum waren sie angemeldet, nutzten sie ohne irgendwelche Verschleierungsversuche den Rechner des Sitel-Mitarbeiters, um mithilfe von Microsofts Suchmaschine Bing nach einem Beispielcode zum Ausnutzen einer seit August bekannten Sicherheitslücke  zu suchen. Diese Lücke ermöglicht es, sich weitergehende Zugriffsrechte zu verschaffen. Den nötigen Code fanden der oder die Täter auf GitHub, der Codesharing-Plattform, die seit 2018 Microsoft gehört, und führten ihn auf dem kompromittierten Laptop aus.

Im nächsten Schritt suchten sie wiederum mit Bing die Open-Source-Programme Process Explorer und Process Hacker, die wie eine Art erweiterter Task Manager funktionieren. Mithilfe dieser Programme deaktivierten sie die Sicherheitssoftware von FireEye auf dem Sitel-Laptop – die eigentlich dazu gedacht ist, Bedrohungen durch Hacker zu stoppen.

Danach konnten sie Mimikatz herunterladen und installieren, ein bekanntes und ebenfalls quelloffenes Werkzeug zum Auslesen von Anmeldedaten. Genutzt wird Mimikatz von Administratoren, die ihre eigenen Systeme auf Schwachstellen überprüfen wollen, von Sicherheitsexperten für Penetrationstests – und von Kriminellen.

Wenige Stunden später fanden sie die Datei »DomAdmins-LastPass.xlsx« auf dem Laptop. Offenbar hatte der Sitel-Angestellte eine Liste mit Administrator-Passworten aus seinem Passwortmanager exportiert und ungesichert gespeichert. Wer so handelt, kann sich einen Passwortmanager beziehungsweise Passworttresor auch sparen.

Mit den neuen Zugangsdaten erzeugten der oder die Täter einen eigenen Admin-Account und legten eine neue E-Mail-Regel fest. Sie besagte, dass alle Mails von Sitel-Angestellten an sie selbst weitergeleitet werden.

Möglicher Zugriff auf Hunderte Okta-Kunden

Am 21. Januar endete der Zugriff auf den Sitel-Laptop. Zwei Monate später veröffentlichte Lapsus$ mehrere Screenshots aus Oktas internen Systemen.

Okta kannte da bereits seit vier Tagen die Details des Sitel-Vorfalls, hatte seine Kunden aber nicht informiert. Dass bei Sitel etwas vorgefallen war, wusste Okta sogar schon seit dem 20. Januar, also noch während der Angriff lief. Doch keine der beiden Firmen schien ihre jeweilige Kundschaft in vollem Umfang über ihre Erkenntnisse informieren zu wollen.

Auf aktuelle Anfragen von »TechCrunch« antworteten weder Okta noch Sitel. Oktas Sicherheitschef veröffentlichte zuletzt am 23. März ein Statement . Darin äußerte er sich »schwer enttäuscht« über den langsamen Informationsfluss von Sitel zu seinem Unternehmen und räumte ein, dass man schneller hätte reagieren sollen. Im schlimmsten Fall habe Lapsus$ seine Zugriffsmöglichkeiten bei 366 Okta-Kunden ausnutzen können. Es wäre daher keine Überraschung, wenn sich herausstellt, dass einige der jüngsten Lapsus$-Hacks durch den Okta-Hack ermöglicht wurden.

Ob es weitere Lapsus$-Attacken geben wird, ist derzeit ungewiss. Am vergangenen Freitag nahm die britische Polizei mehrere Personen im Alter von 16 bis 21 Jahren vorübergehend fest, im Rahmen »einer Untersuchung gegen eine Hackinggruppe«. Das Problem der supply chain attacks wird deshalb aber nicht verschwinden.

Anmerkung der Redaktion: In einer früheren Fassung dieses Artikels hieß es, die Angreifer hätten sich am 19. März per RDP auf dem Laptop eines Sitel-Mitarbeiters eingeloggt. Richtig ist der 19. Januar, wir haben den Satz korrigiert.

Mehr lesen über