JumpCloud, ulus devlet bilgisayar korsanlarının sistemlerini ihlal ettiğini söylüyor

Kimlik ve erişim yönetimi şirketi JumpCloud, ulus devlet bilgisayar korsanlarının sistemlerini ihlal etmesinden sonra müşterilerin API anahtarlarını sıfırladığını söylüyor.

Kuruluşların kullanıcıları ve cihazları doğrulamasını, yetkilendirmesini ve yönetmesini sağlayan bir dizin platformu olan JumpCloud, geçen hafta müşterilere söyledi devam eden ancak belirtilmemiş bir güvenlik olayı nedeniyle API anahtarlarını “çok dikkatli bir şekilde” sıfırladığını söyledi.

İçinde Olayın otopsisi yayınlandıJumpCloud, bir ulus devlet aktörünün sistemlerine yetkisiz erişim elde ettiğini ve “küçük ve belirli” bir müşteri grubunu hedef aldığını belirlediğini söyledi.

Jumpcloud, devlet destekli grubun adını vermedi, ancak tehdit aktörünün “gelişmiş yeteneklere sahip, sofistike” olduğunu söyledi.

JumpCloud CISO’su Bob Chan, bulgularında, 22 Haziran’da tehdit aktörü tarafından gerçekleştirilen bir spearphishing kampanyasına kadar izini süren ilk anormal etkinliğin 27 Haziran’da tespit edildiğini söyledi. Şirket o sırada herhangi bir müşteri kanıtı görmediğini söyledi. darbe. İki hafta sonra, 5 Temmuz’da JumpCloud, küçük bir müşteri grubu için komut çerçevesinde olağandışı bir etkinlik keşfettiğini ve bazı müşterilerin etkilendiğini ortaya çıkardığını söyledi. Bu, şirketin tüm yönetici API anahtarlarını sıfırladığı ve etkilenen müşterileri bilgilendirmeye başladığı zamandır.

Chan, “Analiz, saldırının son derece hedefli ve belirli müşterilerle sınırlı olduğuna dair şüpheleri de doğruladı” dedi. Etkilenen müşterilerin tam sayısı ve hedeflenen kuruluş türleri bilinmiyor. Şirket, saldırının arkasında ulus devlet bilgisayar korsanlarının olduğunu nasıl belirlediğini açıklamadı ve yorum talebine yanıt vermedi.

JumpCloud, web sitesinde, yazılımını 180.000’den fazla kuruluşa sağladığını ve 5.000’den fazla ödeme yapan müşterisi olduğunu söylüyor. Bu müşteriler arasında Cars.com, GoFundMe, Grab, ClassPass, Uplight, Beyond Finance ve Foursquare yer alır.

Chan, adı açıklanmayan devlet destekli bilgisayar korsanları tarafından kullanılan saldırı vektörünün hafifletildiğini sözlerine ekledi. Şirketin saldırıyı kolluk kuvvetlerine bildirdiğini ve bir liste yayınladığını da sözlerine ekledi. uzlaşma göstergeleri (IOC’ler) diğer kuruluşların benzer saldırıları belirlemesine yardımcı olmak için.

Chan, “Müşterilerimizi gelecekteki tehditlerden korumak için kendi güvenlik önlemlerimizi geliştirmeye devam edeceğiz ve bu tehdide ilişkin bilgileri paylaşmak için hükümet ve endüstri ortaklarımızla yakın bir şekilde çalışacağız” dedi.