Od kilku tygodni kolektyw hakerski LAPSUS$ (Lapsus) publikuje wewnętrzne dane należące do różnych firm, w tym Samsunga, Nvidii, Vodafone, Ubisoftu, Okta, a także Microsoftu. W niedawnym artykule pisaliśmy o wycieku kodu źródłowego Cortany, Bing i Bing Maps. Teraz sprawdzimy, jakie szczegóły na temat tego incydentu podaje Microsoft.
W ostatnich tygodniach zespoły Microsoft Security aktywnie śledzą kampanię socjotechniczną i wymuszającą, zakrojoną na szeroką skalę, przeciwko wielu organizacjom, z których część ma dowiedzione elementy destrukcyjne. Gdy kampania przyspieszyła, nasze zespoły skupiły się na wykrywaniu, powiadamianiu klientów, instruktażach dotyczących zagrożeń i dzieleniu się z naszymi branżowymi partnerami wiedzą o taktyce i celach aktora [chodzi tu o Lapsus]. Z czasem poprawiliśmy naszą zdolność do śledzenia tego aktora i pomogliśmy klientom zminimalizować wpływ aktywnych intruzów i w niektórych przypadkach pracowaliśmy z dotkniętymi organizacjami, aby zatrzymać ataki przed kradzieżą danych lub działaniami destrukcyjnymi. Microsoft jest zobowiązany do zapewnienia wglądu w obserwowaną przez nas złośliwą aktywność oraz udostępniania spostrzeżeń i wiedzy na temat taktyk aktorów, które mogą być przydatne dla innych organizacji w celu zapewnienia ochrony. Chociaż nasze dochodzenie w sprawie ostatnich ataków wciąż trwa, będziemy nadal aktualizować ten post, gdy będziemy mieli więcej do przekazania.
Aktywność, którą zaobserwowaliśmy, została przypisana do grupy zagrożeń, którą Microsoft śledzi jako DEV-0537, znanej też jako LAPSUS$. DEV-0537 znana jest z użycia czystego modelu wymuszeń i destrukcji bez wgrywania payloadów ransomware. DEV-0537 zaczęła celować w organizacje w Wielkiej Brytanii i Ameryce Południowej, ale rozszerzyła się na globalne cele, w tym organizacje z sektorów rządowego, technologicznego, telekomunikacyjnego, medialnego, handlowego i opieki zdrowotnej. DEV-0537 znana jest też z przejmowania indywidualnych konta użytkowników na giełdach kryptowalut w celu wyczerpania zasobów kryptowalut.
W odróżnieniu od większości namierzanych grup DEV-0537 nie wydaje się zacierać swoich śladów. Posuwa się nawet do ogłaszania swoich ataków w mediach społecznościowych lub reklamowania zamiaru zakupu danych uwierzytelniających od pracowników docelowych organizacji. DEV-0537 wykorzystuje również kilka taktyk, które są rzadziej stosowane przez innych cyberprzestępców śledzonych przez Microsoft. Ich taktyka obejmuje socjotechnikę opartą na telefonie, SIM-swappingu w celu ułatwienia przejęcia konta, dostępie do osobistych kont e-mail pracowników w docelowych organizacjach, płaceniu pracownikom, dostawcom lub partnerom biznesowym organizacji docelowych za dostęp do danych uwierzytelniających i zatwierdzanie uwierzytelniania wieloskładnikowego (MFA) oraz wtrącaniu się w trwające rozmowy kryzysowe swoich celów.
Taktyki socjotechniczne i zorientowane na tożsamość, wykorzystywane przez DEV-0537, wymagają procesów wykrywania i odpowiadania, które są podobne do wewnętrznych programów zarządzania ryzykiem, ale obejmują też krótkie ramy czasowe odpowiedzi, potrzebne, aby radzić sobie z zewnętrznymi, złośliwymi zagrożeniami.
— Microsoft Threat Intelligence Center (MSTIC), Detection and Response Team (DART) i Microsoft 365 Defender Threat Intelligence Team
Microsoft Security podaje, że LAPSUS$ stosuje socjotechnikę, aby zbierać wiedzę o operacjach biznesowych swoich celów. Te informacje to m.in. poufne dane o pracownikach, strukturach zespołów, help deskach, przepływach pracy w odpowiedzi na kryzys i relacjach w łańcuchach dostaw. Przykładową taktyką jest spamowanie celów prośbami o uwierzytelnienie wieloskładnikowe (MFA) i dzwonienie do firmowego help desku, aby zresetować dane logowania. MSTIC scharakteryzował cele grupy jako kradzież i destrukcja. Microsoft ujawnił również, jak doszło do naruszenia jego własnych systemów:
W tym tygodniu aktor przyznał publicznie, że uzyskał dostęp do Microsoftu i eksfiltrował porcje kodu źródłowego. W obserwowanych działaniach nie było udziału żadnego kodu ani danych klientów. Nasze dochodzenie wykazało, że jedno konto zostało naruszone, zapewniając ograniczony dostęp. Nasze zespoły odpowiedzi na cyberzagrożenia szybko przystąpiły do naprawy przejętego konta i zapobiegły dalszej aktywności. Microsoft nie polega na sekretności kodu jako na środku bezpieczeństwa i przeglądanie kodu źródłowego nie prowadzi do zwiększenia ryzyka. Taktyka używana przez DEV-0537 w tym wtargnięciu odzwierciedla taktyki i techniki dyskutowane w tym wpisie na blogu. Nasz zespół badał już zhakowane konto na podstawie analityki zagrożeń, kiedy aktor publicznie ujawnił włamanie. To publiczne ujawnienie nasiliło nasze działania, umożliwiając naszemu zespołowi interwencję i przerwanie działania aktora w trakcie operacji, ograniczając szerszy wpływ.
— Microsoft Threat Intelligence Center (MSTIC), Detection and Response Team (DART) i Microsoft 365 Defender Threat Intelligence Team
Microsoft dzieli się zaleceniami, by zminimalizować ryzyko podobnych naruszeń w przyszłości. Rekomenduje mocniejszą implementację MFA, wykorzystanie nowoczesnych opcji uwierzytelniania dla VPN, wzmocnienie i monitorowanie bezpieczeństwa chmury, zwiększanie świadomości ataków socjotechnicznych i — w tym szczególnym przypadku — ustanowienie procesów bezpieczeństwa w odpowiedzi na wtargnięcia DEV-0537.