Η Microsoft επιβεβαίωσε ότι ο λογαριασμός ενός υπαλλήλου της παραβιάστηκε από την ομάδα εκβιαστών Lapsus$ και επέτρεψε την πρόσβαση σε συστήματα και την κλοπή μέρους του source code από διάφορα projects της εταιρείας.
Η συμμορία Lapsus$ δημοσίευσε 37 GB source code που είχε κλαπεί από τον Azure DevOps server της Microsoft. Ο source code είναι για διάφορα εσωτερικά projects της Microsoft, συμπεριλαμβανομένων των Bing, Cortana και Bing Maps.
Σύμφωνα με τη Microsoft, η παραβίαση του λογαριασμού του υπαλλήλου προσέφερε στους επιτιθέμενους περιορισμένη πρόσβαση στα source code repositories.
Δείτε επίσης: Ubisoft: Τι γνωρίζουμε για το πρόσφατο περιστατικό κυβερνοασφάλειας;
"Δεδομένα πελατών δεν εμπλέκονται στις παρατηρούμενες δραστηριότητες. Η έρευνά μας διαπίστωσε ότι ένας μεμονωμένος λογαριασμός είχε παραβιαστεί, παρέχοντας περιορισμένη πρόσβαση. Οι cybersecurity ομάδες μας ασχολήθηκαν γρήγορα με την αποκατάσταση του παραβιασμένου λογαριασμού και την αποτροπή περαιτέρω δραστηριότητας", εξήγησε η Microsoft σχετικά με την παραβίαση από τη Lapsus$.
"Η Microsoft δεν βασίζεται στη μυστικότητα του κώδικα ως μέτρο ασφαλείας και η προβολή του source code δεν οδηγεί σε αύξηση του κινδύνου. Οι τακτικές της DEV-0537 (Lapsus$) που χρησιμοποιήθηκαν σε αυτήν την εισβολή αντικατοπτρίζουν τις τακτικές και τις τεχνικές που συζητούνται σε αυτό το blog", λέει η εταιρεία.
"Η ομάδα μας ερευνούσε ήδη τον παραβιασμένο λογαριασμό, όταν οι επιτιθέμενοι αποκάλυψαν δημόσια την εισβολή τους. Αυτή η δημόσια αποκάλυψη κλιμάκωσε τη δράση μας επιτρέποντας στην ομάδα μας να παρέμβει και να διακόψει τους επιτιθέμενους, περιορίζοντας τον ευρύτερο αντίκτυπο".
Η Microsoft δεν έδωσε λεπτομέρειες σχετικά με τον τρόπο παραβίασης του λογαριασμού του υπαλλήλου, αλλά παρείχε μια γενική εικόνα των τακτικών, των τεχνικών και των διαδικασιών (TTP) που χρησιμοποιεί η συμμορία Lapsus$ στις περισσότερες επιθέσεις της.
Lapsus$: Εστίαση σε παραβιασμένα credentials
Η Microsoft παρακολουθεί την ομάδα Lapsus$ ως «DEV-0537» και λέει ότι οι επιτιθέμενοι επικεντρώνονται κυρίως στην απόκτηση παραβιασμένων credentials για την αρχική πρόσβαση σε εταιρικά δίκτυα.
Αυτά τα credentials αποκτώνται με τις ακόλουθες μεθόδους:
- Χρήση του Redline password stealer malware για την απόκτηση κωδικών πρόσβασης και session tokens
- Αγορά credentials και session tokens από hacking forums
- Πληρωμή εργαζομένων σε στοχευμένους οργανισμούς (ή προμηθευτές/επιχειρηματικούς συνεργάτες) για πρόσβαση σε credentials και έγκριση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA)
- Ψάξιμο σε public code repositories για εκτεθειμένα credentials
Δείτε επίσης: Η Vodafone είπε ότι διερευνά τους ισχυρισμούς για παραβίαση δεδομένων
Μόλις η Laspsus$ αποκτήσει πρόσβαση σε παραβιασμένα credentials, τα χρησιμοποιεί για να συνδεθεί σε public-facing συσκευές και συστήματα, συμπεριλαμβανομένων VPN, Virtual Desktop infrastructure ή υπηρεσιών διαχείρισης ταυτότητας, όπως η Okta, την οποία επίσης παραβίασαν.
Σύμφωνα με τη Microsoft, η Laspsus$ χρησιμοποιεί session replay attacks για λογαριασμούς που χρησιμοποιούν MFA ή ενεργοποιούν συνεχώς ειδοποιήσεις MFA μέχρι ο χρήστης να κουραστεί και να επιβεβαιώσει ότι θα πρέπει να επιτρέπεται στον χρήστη να συνδεθεί.
Η Microsoft λέει ότι σε τουλάχιστον μία περίπτωση, η Lapsus$ πραγματοποίησε επίθεση SIM swap για να αποκτήσει τον έλεγχο των αριθμών τηλεφώνου και των μηνυμάτων SMS του χρήστη και να αποκτήσει πρόσβαση στους κωδικούς MFA, που απαιτούνται για τη σύνδεση σε έναν λογαριασμό.
Μόλις αποκτήσουν πρόσβαση σε ένα δίκτυο, οι φορείς απειλών χρησιμοποιούν το AD Explorer για να βρουν λογαριασμούς με υψηλότερα προνόμια και να στοχεύσουν πλατφόρμες development και συνεργασίας, όπως το SharePoint, το Confluence, το JIRA, το Slack και το Microsoft Teams. Εκεί κλέβουν και άλλα credentials.
Η ομάδα φαίνεται να χρησιμοποιεί τα κλεμμένα credentials για να αποκτήσει πρόσβαση και σε source code repositories στο GitLab, στο GitHub και στο Azure DevOps.
"Η DEV-0537 εκμεταλλεύεται επίσης ευπάθειες στο Confluence, JIRA και GitLab για κλιμάκωση προνομίων", εξηγεί η Microsoft στην έκθεσή της.
"Η ομάδα παραβίασε τους servers που εκτελούν αυτές τις εφαρμογές για να λάβει τα credentials ενός privileged account".
Δείτε επίσης: Samsung hacked: Hackers έκλεψαν τον source code συσκευών Galaxy
Στη συνέχεια, οι φορείς απειλών συλλέγουν πολύτιμα δεδομένα και τα απομακρύνουν μέσω συνδέσεων NordVPN για να κρύψουν τις τοποθεσίες τους ενώ εκτελούν καταστροφικές επιθέσεις στην υποδομή των θυμάτων.
Η Lapsus$ είναι πολύ δραστήρια το τελευταίο διάστημα και έχει πραγματοποιήσει επιθέσεις σε μεγάλες εταιρείες, συμπεριλαμβανομένων των NVIDIA, Samsung, Ubisoft, Vodafone, Mercado Libre, Okta και τώρα της Microsoft.
Οι διαχειριστές ασφάλειας και δικτύου πρέπει να εξοικειωθούν με τις τακτικές που χρησιμοποιεί αυτή η ομάδα διαβάζοντας την αναφορά της Microsoft, για να λάβουν μέτρα προστασίας.
Πηγή: Bleeping Computer