Microsoft hat bestätigt, dass es von der Hacking-Gruppe Lapsus $ verletzt wurde.
Im ein Blogbeitrag am Dienstag – Stunden nachdem Lapsus$ eine Torrent-Datei mit teilweisem Quellcode von Bing, Bing Maps und Cortana veröffentlicht hatte – Microsoft enthüllte, dass das Konto eines einzelnen Mitarbeiters von der Hackergruppe kompromittiert wurde, gewährte den Angreifern „eingeschränkten Zugriff“ auf Microsofts Systeme und erlaubte den Diebstahl des Quellcodes des Unternehmens.
Microsoft fügte hinzu, dass kein Kundencode oder Daten kompromittiert wurden.
„Unsere Cybersecurity-Reaktionsteams haben sich schnell engagiert, um das kompromittierte Konto zu reparieren und weitere Aktivitäten zu verhindern“, sagte Microsoft. „Microsoft verlässt sich nicht auf die Geheimhaltung des Codes als Sicherheitsmaßnahme, und das Anzeigen des Quellcodes führt nicht zu einer Erhöhung des Risikos. Unser Team untersuchte das kompromittierte Konto bereits auf der Grundlage von Bedrohungsinformationen, als der Akteur sein Eindringen öffentlich bekannt gab. Diese öffentliche Offenlegung hat unsere Aktion eskaliert und es unserem Team ermöglicht, einzugreifen und den Akteur mitten im Einsatz zu unterbrechen, wodurch die Breitenwirkung eingeschränkt wird.“
Microsoft hat keine weiteren Details darüber mitgeteilt, wie das Konto kompromittiert wurde, sondern einen Überblick über die Taktiken, Techniken und Verfahren der Lapsus$-Gruppe gegeben, die das Threat Intelligence Center des Unternehmens, bekannt als MSTIC, bei mehreren Angriffen beobachtet hat. Ursprünglich zielten diese Angriffe auf Unternehmen in Südamerika und Großbritannien ab, obwohl Lapsus$ inzwischen auf globale Ziele ausgeweitet wurde, darunter Regierungen und Unternehmen in den Bereichen Technologie, Telekommunikation, Medien, Einzelhandel und Gesundheitswesen.
Die Gruppe, die der Technologieriese als DEV-0537 verfolgt, arbeitet mit einem „reinen Erpressungs- und Zerstörungsmodell“ und scheint im Gegensatz zu anderen Hackergruppen „seine Spuren nicht zu verwischen“, so Microsoft, wahrscheinlich eine Anspielung darauf die öffentliche Rekrutierung von Firmeninsidern durch die Gruppe, um ihr bei der Durchführung ihrer gezielten Angriffe zu helfen. Die Gruppe verwendet eine Reihe von Methoden, um sich Zugang zu einer Organisation zu verschaffen, die sich in der Regel auf die Kompromittierung von Benutzeridentitäten und -konten konzentrieren. Neben der Rekrutierung von Mitarbeitern in Zielorganisationen gehören dazu der Erwerb von Zugangsdaten aus Dark-Web-Foren, das Durchsuchen öffentlicher Repositories nach offengelegten Zugangsdaten und der Einsatz des Redline-Passwortdiebstahls.
Lapsus$ verwendet dann kompromittierte Anmeldeinformationen, um auf die mit dem Internet verbundenen Geräte und Systeme eines Unternehmens zuzugreifen, wie z. B. virtuelle private Netzwerke, Remote-Desktop-Infrastruktur oder Identitätsverwaltungsdienste wie Okta, die die Hackergruppe im Januar erfolgreich geknackt hat. Microsoft sagt, dass Lapsus$ bei mindestens einer Kompromittierung einen SIM-Swap-Angriff durchgeführt hat, um die Kontrolle über die Telefonnummer und Textnachrichten eines Mitarbeiters zu erlangen und Zugriff auf Multi-Faktor-Authentifizierungscodes (MFA) zu erhalten, die für die Anmeldung bei einer Organisation erforderlich sind.
Nachdem Lapsus Zugriff auf das Netzwerk erhalten hat, verwendet es öffentlich verfügbare Tools, um die Benutzerkonten einer Organisation zu durchsuchen, um Mitarbeiter mit höheren Privilegien oder breiterem Zugriff zu finden, und zielt dann auf Entwicklungs- und Kollaborationsplattformen wie Jira, Slack und Microsoft Teams ab, auf denen weitere Anmeldeinformationen vorhanden sind sind gestohlen. Die Hacker-Gruppe verwendet diese Zugangsdaten auch, um Zugriff auf Quellcode-Repositories auf GitLab, GitHub und Azure DevOps zu erhalten, wie es beim Angriff auf Microsoft der Fall war.
„In einigen Fällen rief DEV-0537 sogar den Helpdesk der Organisation an und versuchte, das Support-Personal davon zu überzeugen, die Anmeldeinformationen eines privilegierten Kontos zurückzusetzen“, fügte Microsoft hinzu. „Die Gruppe nutzte die zuvor gesammelten Informationen (z. B. Profilbilder) und ließ einen englischsprachigen Anrufer mit dem Helpdesk-Personal sprechen, um ihre Social-Engineering-Köder zu verstärken.“
Die Lapsus$-Bande richtete eine dedizierte Infrastruktur bei bekannten Anbietern virtueller privater Server (VPS) ein und nutzt den virtuellen privaten Netzwerkdienst NordVPN für Verbraucher, um Daten zu exfiltrieren – sogar mit lokalisierten VPN-Servern, die sich geografisch in der Nähe ihrer Ziele befanden, um das Auslösen von Netzwerkerkennungstools zu vermeiden. Gestohlene Daten werden dann für zukünftige Erpressungen verwendet oder öffentlich zugänglich gemacht.
Die Hacking-Gruppe Lapsus$ hat sich in den letzten Wochen einen Namen gemacht und eine Reihe prominenter Unternehmen, darunter Nvidia und Samsung, kompromittiert. Anfang dieser Woche wurde sein jüngstes Opfer als Okta geoutet, nachdem die Bande Screenshots der internen Systeme des Identitätsgiganten veröffentlicht hatte. Okta bestätigte den Verstoß, der das Ergebnis der Kompromittierung eines externen Kundendiensttechnikers durch Lapsus$ war und rund 2,5 % seiner 15.000 Kunden betraf.
Es ist derzeit unklar, warum Okta seine Kunden bis jetzt nicht über die Kompromittierung informiert hat, die während eines fünftägigen Fensters im Januar aufgetreten ist.
Weiterlesen: