最近,那個勒索英偉達的Lapsus$,又把微軟給黑了!
在過去幾個月里,Lapsus$可謂是聲名鵲起。
英偉達、三星、沃達豐、育碧等等都慘遭毒手。
而這里面最慘的,就屬英偉達了。
畢竟被放出源代碼,而且文件大小還高達75GB的,也僅此一家。
不過,距離「最后通牒」也已經過了小半個月,卻不見Lapsus$有進一步的動作。
對于微軟這家商業軟件巨頭來說,目前Lapsus$還尚未向提出任何要求。
周日清晨,Lapsus$在Telegram上發布了一張內部源代碼庫的截圖,內容似乎是從微軟云計算部門Azure的內部開發人員帳戶中黑進去得到的信息。
圖中的Azure DevOps資源庫包含了Cortana和各種Bing項目的源代碼。
Lapsus$表示,Bing地圖的代碼已經完成了90%的轉儲,Cortana和Bing的代碼完成了45%。
Bing_STC-SV:項目包含硅谷辦公室各種Bing工程項目的源代碼
Bing_Test_Agile:使用敏捷模板的Bing的測試項目
Bing_UX: Bing.com前臺(SNR)和其他相關的用戶體驗代碼庫
BingCubator :BingCubator團隊
Bing-源代碼:用于存儲所有Bing源代碼的中心項目
Compliance_Engineering: WebXT合規工程團隊項目
Cortana: 所有與Cortana相關的代碼和工作項目
奇怪的是,勒索團伙在截圖中留下了登錄用戶的首字母「IS」。
這基本上就是直接為微軟指明了被攻擊的賬戶。
不知道是不是意識到了這一點,在發布截圖后不久,Lapsus$就把帖子撤了下來。
取而代之的是一條信息:「暫時刪除,以后再發。」
不過,首字母的暴露大概率也意味著Lapsus$不再有訪問存儲庫的權限。
當然,也不排除Lapsus$只是在單方面嘲弄微軟。
眾所周知,Lapsus$對以前的受害者也是如此。
雖然微軟沒有證實他們的Azure DevOps賬戶是否被攻破,但在回復媒體對此事采訪的電子郵件中稱,「我們了解到這些說法,并正在調查。」
不幸的是,Lapsus$有著「良好」的信用記錄,他們聲稱對其他公司的攻擊后來被證實是真的。不信可以問英偉達。
不過,安全公司Darktrace的全球威脅分析主管Toby Lewis則更為審慎:「除了內部開發人員儀表板的截圖之外,沒有任何進一步的證據。雖然Lapsus$曾成功地入侵過大型機構,但截圖為我們提供的信息非常少。」
雖然源代碼的泄露會讓軟件中的漏洞更容易被發現,但微軟此前曾表示,他們的威脅模型假定威脅者已經了解他們的軟件是如何工作的,無論是通過逆向工程解析還是以前的源代碼泄露,都不會造成風險的提升。
「在微軟,我們有開發內部源碼的獨特方式,通過類似開源界的文化、和從開源界得來的最佳經驗,來開發微軟內部的源碼。這意味著我們不依靠源代碼的保密性來保證產品的安全,我們的威脅模型假定攻擊者對源代碼有了解。」微軟在一篇關于SolarWinds攻擊者獲得其源代碼的博文中解釋道,「所以查看源代碼并不與風險的提升掛鉤。」
不過,源代碼庫通常還包含訪問令牌、憑證、API密鑰,甚至是代碼簽名證書。
當Lapsus$攻破英偉達并發布他們的數據時,它還包括代碼簽名證書,其他威脅者很快就用它來簽署他們的惡意軟件。
而使用英偉達的代碼簽署證書則會導致反病毒引擎信任可執行文件,而不將其檢測為惡意軟件。
對此,微軟曾表示,他們有一項開發政策,禁止將API密鑰、憑證或訪問令牌等「秘密」納入源代碼庫中。
即使是這樣,也不意味著源代碼中沒有包括其他有價值的數據,比如私人加密密鑰或其他專有工具等。
目前還不知道這些庫中包含了什么,但正如對以前的受害者所做的那樣,Lapsus$泄露被盜的數據只是時間問題。
與公眾之前了解的許多勒索集團不同,Lapsus$并沒有在受害者的設備上部署勒索軟件。
相反,他們的目標是大公司的源代碼庫,竊取他們的專有數據,然后試圖以數百萬美元的價格將這些數據「賣」給受害公司。
據稱Lapsus$正在四處招攬大型科技企業的內線,讓這些內部員工透露敏感信息。
3月10日在社交網站上寫道,「我們在以下公司招聘員工/內部人員!!!!」 ,該聲明隨后列出了它希望滲透的公司名單,其中包括蘋果、IBM 和微軟。
黑客組織在貼文中描述了要求叛變員工幫助訪問目標公司網絡的特定方式:
「請注意:我們不是在直接索取數據,我們正在尋找內部員工來提供他們公司的內網VPN或CITRIX的外網接口,或一些AnyDesk的遠程登錄權限。」
據網絡安全企業的推斷,該黑客團伙的攻擊方式除了這種直接購買登陸密碼與接口外,就是經典的釣魚攻擊、獲得目標網絡的網絡驗證。
老辦法一般是久經考驗的好辦法,這些方式能讓攻擊者在目標網絡中潛伏數周而不被發覺。
Lapsus$在黑客團伙中的獨特之處,在于社交媒體建立形象并發聲。除了錢以外,該組織還想要名聲。
Lapsus$ 并不常對被攻破系統直接加密、進行勒索軟件攻擊,而是威脅要泄露它已經竊取的信息,除非受害者乖乖給錢。
該組織要錢的方式與要求時常變幻,應該單純是為名利所驅動,沒有政治動機或國家級實體贊助者。
但就是這種貪得無厭死要錢的網絡劫匪最不會銷聲匿跡,網絡安全企業估計它們之后的攻擊會越發頻繁。
這個自稱只受金錢驅使的黑客組織,在成功攻擊了巨頭英偉達和三星之后,獲得了自信并擴大了野心。
Lapsus$在黑客界還算是一個「新人」。
2021年年底,Lapsus$的活動被首次曝光,其目標是巴西和葡萄牙的公司。
首先是巴西衛生部、葡萄牙媒體公司Impresa、南美電信公司Claro和Embratel,以及葡萄牙議會等等。
不過,據網友透露,Lapsus$的活動可能要追溯到2021年6月。
在地下論壇帖子中,一位用戶寫道:「針對游戲巨頭EA的黑客攻擊,要歸功于Lapsus$,更多的內容會被泄露。」
之后,EA的游戲FIFA 21源代碼被公開。
在2022年3月的育碧被黑事件中,Lapsus$也暗示自己是幕后的主使。
最近的網絡地下世界爭斗,更是為團伙成員的隱秘身份揭開了一角。
據稱,該組織的頭目是一名居住在英國的16歲自閉癥少年男子。他在Dark web上的常用ID一般是SigmA、wh1te、Breachbase和Alexander Pavlov。
這是在ID為SigmA的用戶在購買doxbin后回售給原網站擁有者不果后被曝出的。在交涉失敗后,有人爆料SigmA就是Lapsus$的頭目,并稱其已被捕。
之后Lapsus$的社交網站頻道辟謠,稱SigmA沒有被捕,如此證實了SigmA/Alexander Pavlov的確是Lapsus$首腦的推測。
網絡安全企業也發現,在SigmA擁有doxbin網站時,托管doxbin的子網與托管當時Lapsus$主網站的子網是同一個。
這可真是后生可畏、前途無亮啊……
參考資料:
https://www.bleepingcomputer.com/news/security/microsoft-investigating-claims-of-hacked-source-code-repositories/
https://www.vice.com/en/article/y3vk9x/microsoft-hacked-lapsus-extortion-investigating
https://www.silentpush.com/blog/lapsus-group-an-emerging-dark-net-threat-actor
