O provedor de soluções de gerenciamento de diretório, identidade e acesso, JumpCloud, divulgou o impacto do cliente após um ataque cibernético em um estado-nação.
Depois de redefinir as chaves de API do cliente em 5 de julho, a empresa revelou na semana passada que a medida de segurança foi acionada como parte de sua resposta a um ataque cibernético perpetrado por um “ator sofisticado de ameaça patrocinado por um estado-nação”. O ator da ameaça ou o país supostamente patrocinador não foram identificados.
O ataque começou em 22 de junho com uma campanha de spear phishing que levou ao acesso não autorizado a uma área específica da infraestrutura do JumpCloud.
Depois de descobrir atividade anômala em um sistema de orquestração interna em 27 de junho, a empresa redefiniu as credenciais e tomou medidas adicionais de segurança.
Em 5 de julho, depois de descobrir atividades incomuns “na estrutura de comandos para um pequeno conjunto de clientes”, a empresa redefiniu todas as chaves de API administrativas e começou a notificar os clientes afetados.
“Neste momento, tínhamos evidências do impacto no cliente e começamos a trabalhar em estreita colaboração com os clientes afetados para ajudá-los com medidas de segurança adicionais”, disse JumpCloud.
A investigação da empresa sobre o incidente descobriu que o agente da ameaça injetou dados na estrutura de comandos da empresa. De acordo com JumpCloud, o vetor de ataque foi mitigado.
“A análise também confirmou as suspeitas de que o ataque foi extremamente direcionado e limitado a clientes específicos”, disse a JumpCloud, sem fornecer informações sobre o número exato de clientes afetados.
“Esses são adversários sofisticados e persistentes com recursos avançados”, observou a empresa.
A JumpCloud notificou a aplicação da lei sobre o ataque e publicou uma lista de indicadores de compromisso (IOCs) para ajudar outras organizações a identificar ataques semelhantes.
“São adversários sofisticados e persistentes com capacidades avançadas. Nossa linha de defesa mais forte é por meio do compartilhamento de informações e da colaboração. É por isso que é importante para nós compartilhar os detalhes desse incidente e ajudar nossos parceiros a proteger seus próprios ambientes contra essa ameaça”, disse a empresa.
Cibersegurança Notícias enviou um e-mail para JumpCloud para obter informações adicionais sobre o ataque e atualizará este artigo se chegar uma resposta.
A JumpCloud fornece logon único, autenticação multifator e outras soluções de segurança de dispositivos e nuvem para mais de 180.000 organizações.