Взлом Ubiquiti на самом деле мог быть катастрофического масштаба

[Artifact]

Злоумышленники предположительно получили доступ администратора с правами суперпользователя ко всем учетным записям Ubiquiti AWS.

Крупный поставщик облачных IoT-устройств Ubiquiti в январе 2021 года сообщил о взломе стороннего поставщика облачных услуг, в результате которого были похищены учетные данные клиентов. Однако источник ресурса KrebsOnSecurity утверждает, что Ubiquiti сильно преуменьшила значение «катастрофического» инцидента с целью минимизировать удар по цене своих акций, а заявление стороннего поставщика облачных услуг было сфабриковано.
«Это было намного хуже, чем сообщалось, и об этом умолчали. Взлом был серьезным, данные клиентов оказались под угрозой, доступ к устройствам клиентов, развернутым в корпорациях и домах по всему миру, был под угрозой», — сообщил ИБ-специалист, который помогал Ubiquiti отреагировать на инцидент.
Как сообщалось в уведомлении от 11 января, компании стало известно о «несанкционированном доступе к некоторым IT-системам, размещенным сторонним поставщиком облачных услуг», хотя название фирмы не указывалось. По словам эксперта, хакеры получили полный доступ с правами чтения и записи баз данных Ubiquiti в сервисе Amazon Web Services (AWS), который, предположительно, был той самой «третьей стороной».
На самом деле, по утверждению эксперта, злоумышленники получили административный доступ к серверам Ubiquiti в облачной службе Amazon, которая обеспечивает безопасность базового серверного оборудования и программного обеспечения. Злоумышленники получили доступ к привилегированным учетным данным, которые ранее хранились в учетной записи LastPass IT-сотрудника Ubiquiti, и получили доступ администратора с правами суперпользователя ко всем учетным записям Ubiquiti AWS, включая все сегменты данных S3, логи приложений, базы данных, учетные данные базы данных пользователей и сведения, необходимые для создания cookie-файлов технологии единого входа (Single sign-on).
Такой доступ мог позволить злоумышленникам удаленно авторизоваться на бесчисленных облачных устройствах Ubiquiti по всему миру. Как отметил специалист, в конце декабря 2020 года служба безопасности Ubiquiti получила уведомление об установке нескольких неучтенных виртуальных машин на базе Linux от имени пользователя с правами администратора. Затем ИБ-эксперты обнаружили бэкдор, внедренный злоумышленником в систему.
После удаления бэкдора в январе 2021 года, злоумышленники потребовали 50 биткойнов (около $2,8 млн) в обмен на обещание хранить молчание о взломе. Хакеры также представили свидетельства кражи исходного кода Ubiquiti и пообещали раскрыть местонахождение другого бэкдора, если требование о выкупе будет выполнено.
По словам источника, Ubiquiti не выходила на связь с хакерами, и в конечном итоге группа реагирования на инциденты нашла второй бэкдор. Компания поменяла учетные данные для всех сотрудников, а затем начала предупреждать клиентов о необходимости сбросить пароли. Эксперт полагает, что на самом деле компании следовало аннулировать все учетные данные своих клиентов и принудительно выполнить сброс паролей.