Poco più di una settimana dopo che JumpCloud ha reimpostato le chiavi API dei clienti interessati da un incidente di sicurezza, l’azienda ha dichiarato che l’intrusione è opera di qualche militante che lavora per qualche paese straniero non ben dentificato.
Prima di tutto, cos’è JumpCloud
JumpCloud è una società statunitense che fornisce un’infrastruttura di gestione degli accessi e delle identità basata su cloud per le aziende. La loro piattaforma offre servizi di autenticazione e autorizzazione centralizzati, consentendo alle aziende di gestire in modo sicuro l’accesso degli utenti a una vasta gamma di risorse, come dispositivi, applicazioni, server e reti.
JumpCloud consente alle aziende di semplificare la gestione delle identità e delle password degli utenti attraverso una singola console di amministrazione basata su cloud. Gli amministratori possono assegnare e revocare facilmente le autorizzazioni degli utenti, controllare l’accesso ai vari servizi e monitorare l’attività degli utenti all’interno dell’organizzazione.
Inoltre, JumpCloud offre funzionalità avanzate di sicurezza, come l’autenticazione a più fattori, la gestione dei certificati digitali e la protezione delle risorse mediante criteri di accesso granulari. La piattaforma è progettata per essere compatibile con una vasta gamma di sistemi operativi, applicazioni e servizi, consentendo alle aziende di integrare facilmente JumpCloud nella propria infrastruttura esistente.
È un sito simile a LastPass, che avevamo visto in un precedente articolo, per farla breve.
Cos’è sucesso su JumpCloud, dunque
L’hacker “ha ottenuto accesso non autorizzato ai nostri sistemi per mirare a un insieme ristretto e specifico dei nostri clienti“, ha dichiarato Bob Phan, responsabile della sicurezza delle informazioni (CISO) di JumpCloud, in un rapporto post-mortem. “Il vettore di attacco utilizzato dal malintenzionato è stato fermato“.
L’azienda statunitense di software enterprise ha dichiarato di aver identificato attività anomale il 27 giugno 2023 su un sistema di orchestrazione interno, che ha risalito a una campagna di spear-phishing montata dall’attaccante il 22 giugno.
Mentre JumpCloud ha preso misure di sicurezza per proteggere la propria rete mediante la rotazione delle credenziali e la ricostruzione dei propri sistemi, è stato solo il 5 luglio che ha rilevato “attività insolite” nel framework dei comandi per un piccolo gruppo di clienti, che ha portato a una rotazione forzata di tutte le chiavi API degli amministratori. Il numero di clienti interessati non è stato divulgato.
Ulteriori analisi della violazione, secondo la divulgazione dell’azienda, hanno scoperto il vettore di attacco, che è stato descritto come “un’injection di dati nel framework dei comandi”. Si è anche affermato che gli attacchi erano altamente mirati.
Tuttavia, JumpCloud non ha spiegato come l’attacco di phishing riscontrato a giugno sia collegato all’iniezione di dati. Al momento non è chiaro se le e-mail di phishing abbiano portato all’installazione di malware che ha facilitato l’attacco.
Ulteriori indicatori di compromissione (IoC) associati all’attacco mostrano che l’avversario ha sfruttato i domini denominati nomadpkg[.]com e nomadpkgs[.]com, probabilmente facendo riferimento all’basato ad alcune “opere” basate sul linguaggio di programmazione Go (o Golang di Google) utilizzato per distribuire e gestire i repository.
“Questi sono avversari [che usano metodi] sofisticati e persistenti con capacità avanzate“, ha affermato Phan. JumpCloud deve ancora rivelare il nome e l’origine del gruppo presumibilmente responsabile dell’incidente.
In conclusione
È molto curioso come anche le società predisposte alla protezione dei dati possano ritrovarse esse stesse colpite da qualche malintenzionato.
Questa piattaforma non è popolare nel nostro paese, in caso, se la usi, scontato dire che è sempre meglio cambiare la password di accesso sulle credenziali