在不到半年裡,駭客組織 Lapsus$ 四處搞事,從巴西政府駭到 NVIDIA,現在又駭了微軟。不過,現在傳出藏在 Lapsus$幕後的,可能是個16歲的英國少年。
最近,那個勒索 NVIDIA 的 Lapsus$, 又把微軟給駭了!
在過去幾個月裡,Lapsus$ 可謂是聲名鵲起。 NVIDIA 、三星、沃達豐、育碧等等都慘遭毒手。
而這裡面最慘的,就屬 NVIDIA 了。
畢竟被放出程式碼,而且檔案大小還高達75GB的,也僅此一家。 不過,距離「最後通牒」也已經過了小半個月,卻不見 Lapsus$ 有進一步的動作。
對於微軟這家商業軟體巨頭來說,目前 Lapsus$ 還尚未向提出任何要求。
微軟也難逃厄運
週日清晨,Lapsus$ 在 Telegram 上發佈了一張內部程式庫的截圖,內容似乎是從微軟雲端運算部門 Azure 的內部開發人員帳戶中駭進去得到的訊息。
圖中的 Azure DevOps 資源庫包含了 Cortana 和各種 Bing 計畫的程式碼。
Lapsus$ 表示,Bing 地圖的程式碼已經完成了90%的轉儲,Cortana 和 Bing 的程式碼完成了45%。
Bing_STC-SV:計畫包含矽谷辦公室各種Bing工程計畫的程式碼
Bing_Test_Agile:使用敏捷模板的Bing的測試計畫
Bing_UX: Bing.com 前台(SNR)和其他相關的使用者體驗程式庫
BingCubator :BingCubator團隊
Bing-程式碼:用於儲存所有 Bing 程式碼的中心計畫
Compliance_Engineering: WebXT 合規工程團隊計畫
Cortana: 所有與 Cortana 相關的程式碼和工作計畫
奇怪的是,勒索團夥在截圖中留下了登錄使用者的首字母「IS」。 這基本上就是直接為微軟指明了被攻擊的帳戶。
不知道是不是意識到了這一點,在發佈截圖後不久,Lapsus$ 就把帖子撤了下來。取而代之的是一條訊息:「暫時刪除,以後再發。」
首字母的暴露很有可能也意味著 Lapsus$ 不再有登入該資料庫的權限。 當然,也不排除 Lapsus$ 只是在單方面嘲弄微軟。
眾所周知,Lapsus$ 對以前的受害者也是如此。
不過,安全公司 Darktrace 的全球威脅分析主管 Toby Lewis 則更為審慎:「除了內部開發人員儀表板的截圖之外,沒有任何進一步的證據。雖然 Lapsus$ 曾成功地入侵過大型機構,但截圖為我們提供的訊息非常少。」
程式碼洩露,問題不大
雖然程式碼的洩露會讓軟體中的漏洞更容易被發現,但微軟先前曾表示,他們的威脅模型假定威脅者已經瞭解他們的軟體是如何工作的,無論是透過逆向工程解析還是以前的程式碼洩露,都不會造成風險的提升。
「在微軟,我們有開發內部程式碼的獨特方式,透過類似開源界的文化、和從開源界得來的最佳經驗,來開發微軟內部的程式碼。這意味著我們不依靠程式碼的保密性來保證產品的安全,我們的威脅模型假定攻擊者對程式碼有瞭解。」微軟在一篇關於 SolarWinds 攻擊者獲得其程式碼的文章中解釋道,「所以查看程式碼並不與風險的提升掛鉤。」
不過,程式庫通常還包含令牌、憑證、API密鑰,甚至是程式碼簽名證書。 當 Lapsus$ 攻破 NVIDIA 並發布他們的數據時,它還包括程式碼簽名證書,其他威脅者很快就用它來簽署他們的惡意軟體。
而使用 NVIDIA 的程式碼簽署證書則會導致反病毒引擎信任可執行文件,而不將其檢測為惡意軟體。
對此,微軟曾表示,他們有一項開發政策,禁止將API密鑰、憑證或訪問令牌等「秘密」納入程式庫中。
即使是這樣,也不意味著程式碼中沒有包括其他有價值的數據,比如私人加密密鑰或其他專有工具等。
目前還不知道這些包含了什麼,但正如對以前的受害者所做的那樣,Lapsus$ 洩露被盜的數據只是時間問題。
透過釣魚與直接買密碼攻擊目標
與公眾之前瞭解的許多勒索集團不同,Lapsus$ 並沒有在受害者的設備上部署勒索軟體。
相反,他們的目標是大公司的源程式碼庫,竊取他們的專有數據,然後試圖以數百萬美元的價格將這些數據「賣」給受害公司。
據稱 Lapsus$ 正在四處招攬大型科技企業的內線,讓這些內部員工透露敏感訊息。
3月10日在社群網站上寫道,「我們在以下公司招聘員工/內部人員!!!!」 ,該聲明隨後列出了它希望滲透的公司名單,其中包括蘋果、IBM 和微軟。
駭客組織在貼文中描述了要求叛變員工幫助訪問目標公司網路的特定方式:
「請注意:我們不是在直接索取數據,我們正在尋找內部員工來提供他們公司的內網 VPN 或 CITRIX 的外網接口,或一些 AnyDesk 的遠端登錄權限。」
據網路安全企業的推斷,該駭客團夥的攻擊方式除了這種直接購買登陸密碼與接口外,就是經典的釣魚攻擊、獲得目標網路的網路驗證。
老辦法一般是久經考驗的好辦法,這些方式能讓攻擊者在目標網路中潛伏數週而不被發覺。
Lapsus$ 在駭客團夥中的獨特之處,在於社群媒體建立形象並發聲。除了錢以外,該組織還想要名聲。
Lapsus$ 並不常對被攻破系統直接加密、進行勒索軟體攻擊,而是威脅要洩露它已經竊取的訊息,除非受害者乖乖給錢。
該組織要錢的方式與要求時常變幻,應該單純是為名利所驅動,沒有政治動機或國家級實體讚助者。 但就是這種貪得無厭死要錢的網路劫匪最不會銷聲匿跡,網路安全企業估計它們之後的攻擊會越發頻繁。
這個自稱只受金錢驅使的駭客組織,在成功攻擊了巨頭 NVIDIA 和三星之後,獲得了自信並擴大了野心。
16歲自閉症男孩帶隊?
Lapsus$ 在駭客界還算是一個「新人」。
2021年年底,Lapsus$ 的活動被首次曝光,其目標是巴西和葡萄牙的公司。
首先是巴西衛生部、葡萄牙媒體公司 Impresa、南美電信公司 Claro 和 Embratel,以及葡萄牙議會等等。
不過,據網友透露,Lapsus$ 的活動可能要追溯到2021年6月。 在地下論壇帖子中,一位使用者寫道:「針對遊戲巨頭EA的駭客攻擊,要歸功於 Lapsus$, 更多的內容會被洩露。」
之後,EA的遊戲FIFA 21程式碼被公開。
在2022年3月的育碧被駭事件中,Lapsus$ 也暗示自己是幕後的主使。
最近的網路地下世界爭鬥,更是為集團成員的隱秘身份揭開了一角。
據稱,該組織的頭目是一名居住在英國的16歲自閉症少年男子。他在 Dark web 上的常用ID一般是 SigmA、wh1te、Breachbase 和 Alexander Pavlov。
這是在ID為 SigmA 的使用者在購買 doxbin 後回售給原網站擁有者不果後被曝出的。在交涉失敗後,有人爆料 SigmA 就是 Lapsus$ 的頭目,並稱其已被捕。
之後 Lapsus$ 的社群網站頻道闢謠,稱SigmA沒有被捕,如此證實了 SigmA/Alexander Pavlov 的確是 Lapsus$ 首腦的推測。
網路安全企業也發現,在 SigmA 擁有d oxbin 網站時,託管 doxbin 的子網與託管當時 Lapsus$ 主網站的子網是同一個。
這可真是後生可畏、前途無亮啊……
參考資料:
https://www.vice.com/en/article/y3vk9x/microsoft-hacked-lapsus-extortion-investigating
https://www.silentpush.com/blog/lapsus-group-an-emerging-dark-net-threat-actor
- 本文授權轉載自:36kr(36氪)
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!