Lapsus$. Как возглавляемая подростком хак-группа атаковала Microsoft, Samsung, Nvidia и Ubisoft
https://xakep.ru/2022/03/29/lapsus-story/В последнее время хакерская группа Lapsus$ не сходит с первых полос ИТ‑изданий по всему миру. Эти парни шантажировали Nvidia, слили исходные коды Ubisoft, Microsoft и Samsung, скомпрометировали Okta. Как теперь сообщают СМИ и эксперты, лидером этой хак‑группы может быть 17-летний подросток из Великобритании, к тому же недавно арестованный властями.
Впервые группа Lapsus$ заявила о себе несколько месяцев назад, в декабре 2021 года, когда после взлома затребовала выкуп у Министерства здравоохранения Бразилии. Однако на первые полосы СМИ хакеры начали попадать позже, уже после компрометации столпов ИТ‑индустрии.
Как отмечали эксперты компании Flashpoint, Lapsus$ отличается от других вымогательских группировок тем, что не шифрует файлы своих жертв, а проникает в сеть компании, получает доступ к важным файлам, похищает их, а затем угрожает слить данные, если ей не заплатят выкуп.
Также следует добавить, что Lapsus$ не имеет собственного «сайта для утечек», где публикует или продает данные своих жертв. Все сливы и общение «с публикой» происходят в Telegram-канале хакеров, который насчитывает более 52 тысяч подписчиков, или по почте, а похищенные данные и вовсе распространяются через торренты.
В общей сложности жертвами Lapsus$ стали уже 19 компаний и организаций, при этом 15 из них находятся в странах Латинской Америки и в Португалии. Вспомним самые громкие взломы, которые в последние два месяца принесли группировке известность:
Nvidia: Lapsus$ похитили у производителя железа учетные данные 71 тысячи сотрудников, исходные коды и другую внутреннюю информацию, включая сертификаты для подписи кода. Хакеры требовали, чтобы компания открыла исходники всех своих GPU-драйверов и отключила на видеокартах механизм LHR (Lite Hash Rate), при помощи которого производитель ограничивает майнинговый потенциал своего железа.
Samsung: группа украла конфиденциальные данные, в том числе исходный код, связанный с работой смартфонов Galaxy, в итоге опубликовав примерно 190 Гбайт данных.
Microsoft: хакеры обнародовали часть исходных кодов Bing, Cortana и других продуктов Microsoft, якобы похищенных с внутреннего сервера Microsoft Azure DevOps. В Microsoft сообщили, что в компании «не считают секретность кода мерой безопасности», и заверили, что утечка исходников не влечет за собой повышение рисков.
Okta: по официальным данным, взлом этого поставщика систем управления доступом и идентификацией затронул примерно 2,5% клиентов Okta. Lapsus$ имели доступ к серверным административным консолям Okta и данным клиентов, судя по всему скомпрометировав машину одного из сотрудников поддержки с высоким доступом.
Среди других пострадавших от рук группировки были португальское подразделение Vodafone, аргентинский гигант e-commerce Mercado Libre, упомянутое выше Министерство здравоохранения Бразилии.
Хотя даже после официального признания факта взлома представители Microsoft не сообщили, как именно была скомпрометирована учетная запись сотрудника компании, после атаки был опубликован детальный обзор тактик и методов, используемых Lapsus$ (в компании группировку отслеживают под кодовым именем DEV-0537).