La société de logiciels d’entreprise basée aux États-Unis, JumpCloud, a déclaré qu’un groupe de piratage soutenu par l’État a violé ses systèmes il y a près d’un mois dans le cadre d’une attaque très ciblée axée sur un ensemble limité de clients.

La société a découvert l’incident le 27 juin, une semaine après que les attaquants ont enfreint ses systèmes via une attaque de lance.

Bien que JumpCloud n’ait pas trouvé de preuve que ses clients ont été touchés à l’époque, la société a décidé de faire tourner les informations d’identification et de reconstruire l’infrastructure compromise.

Le 5 juillet, JumpCloud a découvert « une activité inhabituelle dans le cadre des commandes pour un petit ensemble de clients » tout en enquêtant sur l’attaque et en analysant des journaux pour des signes d’activité malveillante en collaboration avec les partenaires IR et les forces de l’ordre.

Le même jour, l’entreprise rota la force de toutes les clés de l’API admin pour protéger les organisations des clients et les informe pour générer de nouvelles clés.

« Une analyse continue a découvert le vecteur d’attaque: injection de données dans notre cadre de commandes. L’analyse a également confirmé les soupçons selon lesquels l’attaque était extrêmement ciblée et limitée à des clients spécifiques », a déclaré Jumpcloud Ciso Bob Phan.

« Ce sont des adversaires sophistiqués et persistants avec des capacités avancées. Notre ligne de défense la plus forte passe par le partage d’informations et la collaboration. »

En collaboration avec les détails de l’incident partagés dans le conseil avisé, a également publié des indicateurs de compromis (IOC) pour permettre aux partenaires de sécuriser leurs réseaux à partir d’attaques similaires du même groupe de menaces.

JumpCloud n’a pas encore fourni d’informations sur le nombre de clients touchés par l’attaque et n’a pas lié le groupe APT derrière la brèche avec un état spécifique.

« Nous continuerons d’améliorer nos propres mesures de sécurité pour protéger nos clients contre les menaces futures et travaillerons en étroite collaboration avec nos partenaires gouvernementaux et industriels pour partager des informations liées à cette menace », a déclaré Phan.

En janvier, JumpCloud a également enquêté sur l’impact potentiel d’un incident de sécurité Circleci sur ses clients.

Fondée en 2013 et dont le siège est à Louisville, Colorado, la plate-forme JumpCloud Directory-As-A-Service fournit des services d’authentification unique et multi-facteurs à plus de 180 000 organisations dans plus de 160 pays.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *