Эксперты подтвердили взлом Uber

Эксперты Group IB проверили доказательства взлома Uber, которые хакер выложил в Twitter несколько дней назад. Они выяснили, что там указаны правдивые данные. Сама компания никаких заявлений по этому поводу не делала.

Напомним, 16 сентября пользователь под ником vx-underground опубликовал в Twitter скриншоты с доказательствами доступа к внутренним системам Uber, а также к сервисам SentinelOne, Slack и AWS.

Эксперты смогли идентифицировать недавно загруженные файлы как логи со стилеров, проданных на одном из андерграундных маркетов. Специалисты Group-IB проанализировали скриншоты и определили, что логи были выставлены на продажу 12 и 14 сентября, то есть до взлома Uber. Логи содержат данные авторизации для провайдера системы управления идентификацией и доступом. По логам видно, что компьютеры по крайней мере двух сотрудников Uber (из Индонезии и Бразилии) были заражены вредоносными стилерами Racoon и Vidar.

Версия взлома Uber через покупку логов, содержащих данные для авторизации, подтверждается тем же скриншотом, где видно, что в самой первой вкладке в браузере открыт OneLogin, говорят эксперты.

В купленных злоумышленником логах, кроме доступа к OneLogin, содержались данные доступа и к другим ресурсам: Facebook, Instagram (принадлежат Meta, деятельность которой запрещена на территории РФ), Slack, Google, и так далее. С их помощью он мог дальше продвигаться по сети Uber, в том числе используя методы социнженерии, если доступа к OneLogin было недостаточно.