Անվտանգության խախտում արձանագրելուց հետո JumpCloud-ը reset է արել API key-երը: Հարձակման ձեռագիրը վերագրվում է ազգային-պետական հովանավորություն ունեցող հաքերին:
«Հաքերը չարտոնված մուտք է ձեռք բերել դեպի մեր համակարգեր՝ թիրախավորելով մեր հաճախորդների կոնկրետ խմբերը», – նշում է JumpCloud-ի տեղեկատվական անվտանգության գլխավոր տնօրեն՝ (CISO) Բոբ Ֆանը:
«Հաքերի կողմից կիրառվող տեխնիկան ներկա պահին բացահայտվել է և կասեցման փուլում է»:
Հետագա վերլուծությունը ցույց տվեց, որ հաքերի կողմից իրականացված հարձակումը եղել է խիստ թիրախավորված՝ նպատակաուղղված կոնկրետ խմբերին:
JumpCloud-ը դեռևս չի հստակացրել, թե ինչքանով և ինչպես է հունիսին նկատված ֆիշինգային հարձակումը կապված data injection-ի հետ: Ներկայումս պարզ չէ, թե արդյո՞ք ֆիշինգային նամակները հանգեցրել են malware ծրագրերի տեղակայմանը, որոնք էլ ավելի են հեշտացրել հարձակման ընթացքը:
Հարձակման վերաբերյալ լրացուցիչ ցուցիչները (IoCs) ցույց են տալիս, որ հաքերն օգտագործել է nomadpkg[.]com և nomadpkgs[.]com անուններով domain-եր, որոնք հավանաբար հղում են կատարել Go-based workload orchestrator-ին, ինչն էլ օգտագործվել է container-երը կառավարելու համար:
«Նրանք իսկապես առաջադեմ կարողություններով շատ համառ հաքերներ են», – նշել է Ֆանը:
JumpCloud-ը դեռ պետք է բացահայտի միջադեպի բոլոր մանրամասնությունները և ավելի շատ տեղեկատվություն հավաքի հաքերի մասին:
Աղբյուրը՝ https://thehackernews.com/
