Okta Agent Involved in MGM Resorts Breach, Attackers Claim
2023/09/16 DarkReading −−− 先週に発生した MGM Resorts と Caesars Entertainment へのサイバー攻撃だが、それを操る脅威アクターの主張は、組織の Active Directory に接続する軽量クライアントである Okta Agent をクラックし、何らかの方法で両社の Okta プラットフォームに侵入できたというものだ。Okta は、クラウド向けの IAM (Identity and Access Management) プロバイダーとして知られるサイバー・セキュリティ企業である。
ALPHV のリークサイトには、「私たちが Okta Agent サーバに潜んで、ドメイン・コントローラーのハッシュ・ダンプからではパスワードが解読できなかったユーザーの、パスワードを盗聴していたことを知った MGM は、Okta Sync サーバを全てシャットダウンするという性急な判断を下した」と記されている。また、Emsisoft の研究者である Brett Callow は、「その結果として、Okta は完全にアウトになった」とツイートしている。
この ALPHV の声明には、「Okta の周辺に1日潜んでパスワードを掬い取った後の 9月11日には、1,000台以上の ESXi ハイパーバイザーに対してランサムウェアによるサイバー攻撃を開始した」と付け加えられている。
このランサムウェア・グループは、MGM Resorts が交渉に応じていないことを明らかにし、金銭的な取り決めがなされなければ、さらなる行動を起こすと脅している。
ALPHV は、「我々は、依然として MGM インフラの一部にアクセスし続けている。もし取引が成立しなければ、さらなる攻撃を行なう。また、Have I Been Pwned の Troy Hunt が開示を選択した場合にも、流出させたデータを公開する」と述べている。
ALPHV (別名 BlackCat) は、RaaS (Ransomware as a Service) のオペレーターであり、Scattered Spider というアフィリエイトに対して、カジノへのサイバー攻撃を成功させるためのマルウェア・サービスを提供している。
Okta が8月発したソーシャル・エンジニアリング攻撃に関する警告
Okta の Chief Security Officer である David Bradbury は、MGM に対するサイバー攻撃には、ソーシャル・エンジニアリングの要素が含まれているとしている。ただし、この脅威アクターの洗練度は高く、独自の IIDP (identity provider) とユーザー・データベースを Okta システム内にデプロイして、攻撃を成功させたと付け加えている。
彼は、「人間的な部分は単純だったが、その後の攻撃は複雑だった」と述べている。
David Bradbury は、複数の ID サブ・グループを作成できるのは、Okta システムの特徴であり、欠陥ではないと付け加えている。最も高いアクセス権限を持つユーザーだけを対象に、ヘルプデスクで視覚的に確認するステップを追加すれば、こうしたサイバー攻撃を阻止できると、彼は提案している。
8月31日に Okta は、この種のソーシャル・エンジニアリング攻撃の可能性について警告し、Okta システムの高度な特権アクセスを得ようとする試みに対して、詳細な情報を提供していた。
Okta は、「ここ数週間、米国を拠点とする複数の Okta 顧客から、IT サービス・デスク担当者に対するソーシャル・エンジニアリング攻撃が、一貫したパターンで試みられていると報告した。この脅威アクターの戦略は、サービス・デスク担当者に対して、高度な特権を持つ Super Admin が登録した、すべての多要素認証 (MFA) 要素をリセットするよう説得することだった。その後に攻撃者は、高度な特権を持つ Okta の Super Admin アカウントへの侵害を利用し、正当な ID 連携機能を悪用し、侵害した組織内のユーザーになりすました」と述べている。
また、Okta は、MGM との関係を大きくアピールしており、同社の Web サイトには、「究極のゲスト・エクスペリエンスへのビルディング・ブロックを提供するために、ホスピタリティ企業と協力している」と記されている。
David Bradbury によると、Okta は MGM および Caesars の復旧に協力し、Caesars における情報漏えいについても自社の役割を再確認するとしている。
MFA 悪用の新たな波が来る可能性
Critical Start の Senior Manager of Threat Research である Callie Guenther によると、この高特権ユーザーをターゲットにしたサイバー攻撃の、新たな波の最初の事例に、MGM が該当する可能性があるとのことだ。結局のところ、すでに Okta は、サイバー犯罪者の間で人気のターゲットになっている。
Callie Guenther は、「Okta は、多くのユーザー組織において、IAM 戦略の中心的な存在であるため、当然ながら魅力的なターゲットである。重要なのは、本質的に欠陥のあるものとして、これらのシステムを見なすのは間違いであるということだ。それより強く認識すべきことは、強固なセキュリティ衛生/継続的な監視/脅威インテリジェンスの迅速な共有の重要性である」と述べている。
ヘルプデスク・サイバー・セキュリティ・ツール・プロバイダー Nametag の CEO である Aaron Painter によると、真の問題は Okta そのものではない。MFA が人ではなくデバイスを識別するように設計されているという、現実にこそ問題がある」と指摘している。
彼は、「この脆弱性は、MGM や Okta に特有のものではなく、多要素認証のシステム的な問題である。MFA は、人ではなくデバイスを認証する。現実の MFA はデバイスを認証するものであり、人を認証するものではない。MFA には、セキュアな登録とリカバリーが欠けている。これは既知の問題であり、それに対処するために MFA が作られたわけではない」と締め括っている。
MGM Resorts は、たしか横浜の IR 事業に手を挙げていた企業ですね。数日前から、サイバー侵害に遭っているというニュースが流れていましたが、ようやくTTP に踏み込んだ記事が DarkReading から提供されたので、訳してみました。Okta が8月に警告していた、ソーシャル・エンジニアリングと関連していようです。文中の「現実の MFA はデバイスを認証するものであり、人を認証するものではない」が、いまの状況を言い表していると感じます。よろしければ、2023/09/15 の「時代遅れの認証ストラテジー:依然としてユーザー企業に残り続ける」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.