Μια ομάδα ερασιτεχνών χάκερ, γνωστή ως Lapsus$,, πολλοί από τους οποίους είναι έφηβοι με μικρή τεχνική κατάρτιση, ήταν τόσο επιδέξιοι στην παραβίαση μεγάλων στόχων, όπως η Microsoft, η Okta, η Nvidia και η Globant, που η ομοσπονδιακή κυβέρνηση μελετά τις μεθόδους τους για να αποκτήσει καλύτερη βάση στην κυβερνοασφάλεια.
Δείτε επίσης: Βραζιλία: Η αστυνομία συνέλαβε πιθανό μέλος της ομάδας Lapsus$
Η ομάδα, είναι μια χαλαρά οργανωμένη ομάδα που χρησιμοποιεί τεχνικές hacking οι οποίες, αν και σαφώς μη εξελιγμένες, έχουν αποδειχθεί εξαιρετικά αποτελεσματικές. Ό,τι στερείται η ομάδα στην εκμετάλλευση λογισμικού, το αναπληρώνει με επιμονή και δημιουργικότητα. Ένα παράδειγμα είναι η τεχνική τους για την παράκαμψη του MFA (έλεγχος ταυτότητας πολλαπλών παραγόντων) σε καλά προστατευμένους οργανισμούς.
Μελετώντας το εγχειρίδιο hacking του Lapsus$
Αντί να θέσει σε κίνδυνο την υποδομή που χρησιμοποιείται για τη λειτουργία των διαφόρων υπηρεσιών MFA, όπως κάνουν οι πιο προηγμένες ομάδες, ένας ηγέτης του Lapsus$ περιέγραψε πέρυσι την προσέγγισή του για να νικήσει το MFA με αυτόν τον τρόπο: “Καλέστε τον υπάλληλο 100 φορές στη 1 το πρωί, ενώ προσπαθεί να κοιμηθεί, και το πιθανότερο είναι ότι θα το δεχτεί. Μόλις ο υπάλληλος αποδεχτεί την αρχική κλήση, μπορείτε να αποκτήσετε πρόσβαση στην πύλη εγγραφής MFA και να εγγράψετε μια άλλη συσκευή”.
Την Πέμπτη, το Συμβούλιο Ανασκόπησης της Ασφάλειας στον Κυβερνοχώρο του Υπουργείου Εσωτερικής Ασφάλειας δημοσίευσε μια έκθεση που κατέγραφε πολλές από τις πιο αποτελεσματικές τακτικές στο εγχειρίδιο παιχνιδιού του Lapsus$ και προέτρεπε τους οργανισμούς να αναπτύξουν αντίμετρα για να αποτρέψουν την επιτυχία τους.
Όπως και μερικές άλλες πιο προηγμένες τεχνικά ομάδες hacking, η Lapsus$ ” έδειξε επιδεξιότητα στον εντοπισμό αδύναμων σημείων στο σύστημα -όπως οι μεταγενέστεροι πωλητές ή οι πάροχοι τηλεπικοινωνιών- που επέτρεπαν την περαιτέρω πρόσβαση στα προοριζόμενα θύματά τους”, έγραψαν οι αξιωματούχοι στην έκθεση των 52 σελίδων. “Έδειξαν επίσης ιδιαίτερο ταλέντο στην κοινωνική μηχανική, δελεάζοντας τους υπαλλήλους ενός στόχου να ανοίξουν ουσιαστικά τις πύλες του εταιρικού δικτύου”.
Η ομάδα Lapsus$ έχει παραβιάσει έναν εκπληκτικά εκτεταμένο κατάλογο στόχων, παρά το γεγονός ότι λειτουργεί μόλις λίγο περισσότερο από ένα χρόνο και έχει ως κύριο κίνητρο τη φήμη. Μερικά από τα κατορθώματα της ομάδας περιλαμβάνουν μια επιτυχημένη εκστρατεία phishing εναντίον του παρόχου MFA Twilio, την παραβίαση του εταιρικού δικτύου της Nvidia και την κλοπή 1 terabyte εταιρικών δεδομένων, την αποστολή ιδιόκτητων δεδομένων από τη Microsoft και την Okta, την παραβίαση του δικτύου του παρόχου υπηρεσιών πληροφορικής Globant, πολλαπλές παραβιάσεις της T-Mobile με χρήση ανταλλαγής SIM και την παραβίαση του Υπουργείου Υγείας της Βραζιλίας και τη διαγραφή περισσότερων από 50 terabyte δεδομένων. Η ομάδα έχει επίσης βάλει στο στόχαστρο πολλούς άλλους οργανισμούς, όπως η Vodafone Portugal, η Impresa, η Confina, η Samsung και η Localiza. Η ομάδα έχει χρησιμοποιήσει τακτικές χαμηλής εξειδίκευσης, όπως η αγορά cookies ελέγχου ταυτότητας και άλλων διαπιστευτηρίων από brokers αρχικής πρόσβασης.
Πρόταση: Η Uber συνδέει την πρόσφατη επίθεση με την ομάδα Lapsus$
Η έκθεση περιέχει διάφορες συστάσεις. Βασική μεταξύ αυτών είναι η μετάβαση σε συστήματα ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης, τα οποία προφανώς αναφέρονται σε passkeys, με βάση το FIDO2. Όπως όλες οι προσφορές του FIDO2, τα passkeys είναι απρόσβλητα από όλες τις γνωστές επιθέσεις phishing με διαπιστευτήρια, επειδή το πρότυπο απαιτεί η συσκευή που παρέχει MFA να μην απέχει περισσότερο από μερικά μέτρα από τη συσκευή που συνδέεται.
Μια άλλη σύσταση είναι η Ομοσπονδιακή Επιτροπή Επικοινωνιών και η Ομοσπονδιακή Επιτροπή Εμπορίου να ενισχύσουν τους κανονισμούς σχετικά με τη μεταφορά τηλεφωνικών αριθμών από μία SIM σε άλλη, ώστε να περιορίσουν την ανταλλαγή SIM.
“Οι οργανισμοί πρέπει να δράσουν τώρα για να προστατευτούν και το Συμβούλιο προσδιόρισε συγκεκριμένους τρόπους για να το πράξουν, με τη βοήθεια της κυβέρνησης των ΗΠΑ και των εταιρειών που είναι καλύτερα προετοιμασμένες να παρέχουν λύσεις safe-by-default για την αναβάθμιση ολόκληρου του οικοσυστήματος”, έγραψαν οι συντάκτες της έκθεσης. “Πολλές από τις συστάσεις του Συμβουλίου εντάσσονται στο ευρύτερο θέμα της “ασφάλειας μέσω σχεδιασμού”, αντανακλώντας τη μεγαλύτερη συζήτηση στον κλάδο, συμπεριλαμβανομένων των προσπαθειών του Cybersecurity and Infrastructure Security Agency (CISA) Secure by Design”.
Διαβάστε επίσης: Ηνωμένο Βασίλειο: Δύο έφηβοι συνδέονται με την ομάδα hacking Lapsus$
πηγή πληροφοριών:arstechnica.com
