Как Lapsus$ атаковала Microsoft, Samsung, Nvidia и Ubisoft

ВЗЛОМЫ И ВЫМОГАТЕЛЬСТВО

Впер­вые груп­па Lapsus$ заяви­ла о себе нес­коль­ко месяцев назад, в декаб­ре 2021 года, ког­да пос­ле взло­ма зат­ребова­ла выкуп у Минис­терс­тва здра­воох­ранения Бра­зилии. Одна­ко на пер­вые полосы СМИ хакеры начали попадать поз­же, уже пос­ле ком­про­мета­ции стол­пов ИТ‑индус­трии.

Как отме­чали экспер­ты ком­пании Flashpoint, Lapsus$ отли­чает­ся от дру­гих вымога­тель­ских груп­пировок тем, что не шиф­рует фай­лы сво­их жертв, а про­ника­ет в сеть ком­пании, получа­ет дос­туп к важ­ным фай­лам, похища­ет их, а затем угро­жает слить дан­ные, если ей не зап­латят выкуп.

Так­же сле­дует добавить, что Lapsus$ не име­ет собс­твен­ного «сай­та для уте­чек», где пуб­лику­ет или про­дает дан­ные сво­их жертв. Все сли­вы и обще­ние «с пуб­ликой» про­исхо­дят в Telegram-канале хакеров, который нас­читыва­ет более 52 тысяч под­писчи­ков, или по поч­те, а похищен­ные дан­ные и вов­се рас­простра­няют­ся через тор­ренты.

В общей слож­ности жер­тва­ми Lapsus$ ста­ли уже 19 ком­паний и орга­низа­ций, при этом 15 из них находят­ся в стра­нах Латин­ской Аме­рики и в Пор­тугалии. Вспом­ним самые гром­кие взло­мы, которые в пос­ледние два месяца при­нес­ли груп­пиров­ке извес­тность:

• Nvidia: Lapsus$ похити­ли у про­изво­дите­ля железа учет­ные дан­ные 71 тысячи сот­рудни­ков, исходные коды и дру­гую внут­реннюю информа­цию, вклю­чая сер­тифика­ты для под­писи кода. Хакеры тре­бова­ли, что­бы ком­пания откры­ла исходни­ки всех сво­их GPU-драй­веров и отклю­чила на виде­окар­тах механизм LHR (Lite Hash Rate), при помощи которо­го про­изво­дитель огра­ничи­вает май­нин­говый потен­циал сво­его железа.
• Samsung: груп­па укра­ла кон­фиден­циаль­ные дан­ные, в том чис­ле исходный код, свя­зан­ный с работой смар­тфо­нов Galaxy, в ито­ге опуб­ликовав при­мер­но 190 Гбайт дан­ных.
• Microsoft: хакеры обна­родо­вали часть исходных кодов Bing, Cortana и дру­гих про­дук­тов Microsoft, яко­бы похищен­ных с внут­ренне­го сер­вера Microsoft Azure DevOps. В Microsoft сооб­щили, что в ком­пании «не счи­тают сек­ретность кода мерой безопас­ности», и завери­ли, что утеч­ка исходни­ков не вле­чет за собой повыше­ние рис­ков.
• Okta: по офи­циаль­ным дан­ным, взлом это­го пос­тавщи­ка сис­тем управле­ния дос­тупом и иден­тифика­цией зат­ронул при­мер­но 2,5% кли­ентов Okta. Lapsus$ име­ли дос­туп к сер­верным адми­нис­тра­тив­ным кон­солям Okta и дан­ным кли­ентов, судя по все­му ском­про­мети­ровав машину одно­го из сот­рудни­ков под­дер­жки с высоким дос­тупом.

Сре­ди дру­гих пос­тра­дав­ших от рук груп­пиров­ки были пор­тугаль­ское под­разде­ление Vodafone, аргентин­ский гигант e-commerce Mercado Libre, упо­мяну­тое выше Минис­терс­тво здра­воох­ранения Бра­зилии.

ТАКТИКИ И МЕТОДЫ

Хо­тя даже пос­ле офи­циаль­ного приз­нания фак­та взло­ма пред­ста­вите­ли Microsoft не сооб­щили, как имен­но была ском­про­мети­рова­на учет­ная запись сот­рудни­ка ком­пании, пос­ле ата­ки был опуб­ликован деталь­ный обзор так­тик и методов, исполь­зуемых Lapsus$ (в ком­пании груп­пиров­ку отсле­жива­ют под кодовым име­нем DEV-0537).

По информа­ции ана­лити­ков, в основном хакеры сос­редото­чены на получе­нии ском­про­мети­рован­ных учет­ных дан­ных для пер­воначаль­ного дос­тупа к кор­поратив­ным сетям. Логины и пароли они добыва­ют с исполь­зовани­ем соци­аль­ной инже­нерии и сле­дующих методов:

• раз­верты­вание мал­вари Redline, вору­ющей учет­ные дан­ные и токены сеан­сов;
• по­куп­ка учет­ных дан­ных и токенов на под­поль­ных форумах;
• взят­ки сот­рудни­кам целевых орга­низа­ций (а так­же пос­тавщи­кам и деловым пар­тне­рам) за дос­туп к учет­ным дан­ным и мно­гофак­торной аутен­тифика­ции;
• по­иск учет­ных дан­ных в обще­дос­тупных репози­тори­ях.

Сти­лер Redline дав­но популя­рен сре­ди хакеров и счи­тает­ся основным пос­тавщи­ком учет­ных дан­ных для нес­коль­ких круп­ных под­поль­ных мар­кет­плей­сов в дар­кне­те. Обыч­но он рас­простра­няет­ся через фишин­говые пись­ма, ата­ки типа watering hole, сай­ты с варезом и видео на YouTube.

В Microsoft счи­тают, что пос­ле того, как Lapsus$ получа­ет дос­туп к чужим учет­ным дан­ным, хакеры исполь­зуют их для про­ник­новения в обще­дос­тупные устрой­ства и сис­темы ком­паний, вклю­чая VPN, инфраструк­туру вир­туаль­ных рабочих сто­лов и служ­бы управле­ния иден­тифика­цией. Для учет­ных записей, исполь­зующих мно­гофак­торную аутен­тифика­цию, груп­пиров­ка при­меня­ет ата­ки типа session replay или бук­валь­но завали­вает жер­тву уве­дом­лени­ями МФА, пока поль­зователь не уста­нет от них и не раз­решит вход в сис­тему.

«Ранее DEV-0537 объ­явля­ли, что готовы купить учет­ные дан­ные для сво­их целей, что­бы побудить сот­рудни­ков или под­рядчи­ков ком­паний при­нимать учас­тие в их опе­раци­ях. За опре­делен­ную пла­ту сооб­щник дол­жен был пре­дос­тавить им свои учет­ные дан­ные и под­твер­дить зап­рос МФА или уста­новить AnyDesk (или иное ПО для уда­лен­ного управле­ния) на кор­поратив­ную рабочую стан­цию, поз­воляя ата­кующим получить кон­троль над аутен­тифици­рован­ной сис­темой.

В некото­рых слу­чаях хакеры сна­чала ком­про­мети­рова­ли лич­ные (не свя­зан­ные с работой) акка­унты челове­ка, а пос­ле иска­ли допол­нитель­ные учет­ные дан­ные, которые мож­но было бы исполь­зовать для получе­ния дос­тупа к кор­поратив­ным сис­темам», — пишет Microsoft.

По­лучив дос­туп к сети, зло­умыш­ленни­ки при­меня­ют AD Explorer для поис­ка учет­ных записей с более высоки­ми при­виле­гиями, а затем ата­куют плат­формы для раз­работ­ки и сов­мес­тной работы, такие как SharePoint, Confluence, JIRA, Slack и Microsoft Teams, так­же похищая учет­ные дан­ные. Эти логины и пароли в ито­ге при­меня­ются для получе­ния дос­тупа к репози­тори­ям GitLab, GitHub и Azure DevOps (что и про­изош­ло во вре­мя ата­ки на Microsoft).

За­тем зло­умыш­ленни­ки собира­ют цен­ную информа­цию и похища­ют ее пос­редс­твом NordVPN (что­бы скрыть свое мес­тополо­жение), одновре­мен­но с этим выпол­няя раз­рушитель­ные ата­ки на инфраструк­туру жер­твы и тем самым ини­циируя про­цеду­ры реаги­рова­ния на инци­ден­ты.

«Извес­тно, что DEV-0537 исполь­зует уяз­вимос­ти в Confluence, JIRA и GitLab для повыше­ния при­виле­гий», — добав­ляли спе­циалис­ты Microsoft.

ДО LAPSUS$

На прош­лой неделе извес­тный жур­налист‑рас­сле­дова­тель Брай­ан Кребс (Brian Krebs) опуб­ликовал в сво­ем бло­ге статью, пос­вящен­ную лицам, сто­ящим за все­ми эти­ми утеч­ками в час­тнос­ти и хак‑груп­пой Lapsus$ в целом.

Сто­ит ска­зать, что Кребс — лич­ность извес­тная как сре­ди хакеров, так и сре­ди ИБ‑спе­циалис­тов. Дело в том, что Кребс зна­менит сво­ими рас­сле­дова­ниями и разоб­лачени­ями, а за дол­гие годы карь­еры он помог най­ти и деано­ними­зиро­вать не один десяток прес­тупни­ков.

Кребс пишет, что хакеры вер­бовали инсай­деров через раз­личные форумы и соци­аль­ные сети по край­ней мере с нояб­ря 2021 года. Один из основных чле­нов Lapsus$, исполь­зовав­ший ники Oklaqq и WhiteDoxbin, еще в прош­лом году писал на Reddit, что ищет сот­рудни­ков, пред­лагая инсай­дерам из ком­паний AT&T, T-Mobile и Verizon до 20 тысяч дол­ларов в неделю за некую не слиш­ком легаль­ную работу. Мно­гие из этих объ­явле­ний были написа­ны на англий­ском и пор­тугаль­ском язы­ках.

В отче­те Microsoft говори­лось о том, что Lapsus$ исполь­зуют для сво­их атак даже под­мену SIM-карт, что­бы получить дос­туп к клю­чевым учет­ным записям в целевых орга­низа­циях. В таких слу­чаях зло­умыш­ленни­ки под­купа­ют или обма­ном вынуж­дают сот­рудни­ков опе­рато­ра сотовой свя­зи передать им номер мобиль­ного телефо­на жер­твы, а вмес­те с ним получа­ют кон­троль и над все­ми ее учет­ными запися­ми.

Имен­но этот аспект, похоже, и помог деано­ними­зиро­вать некото­рых учас­тни­ков хак‑груп­пы. Весь­ма инте­рес­ными све­дени­ями подели­лась с Креб­сом Элли­сон Ник­сон (Allison Nixon), глав­ный науч­ный сот­рудник кон­салтин­говой ИБ‑ком­пании Unit 221B, которая вни­матель­но отсле­жива­ет хакеров, занима­ющих­ся под­меной SIM-карт.

Сов­мес­тно с ана­лити­ками из Palo Alto Networks Ник­сон наб­людала за отдель­ными чле­нами Lapsus$ еще до того, как они сфор­мирова­ли груп­пу. Она говорит, что прак­тичес­ки все методы соци­аль­ной инже­нерии, которые теперь опи­сыва­ют экспер­ты, хакеры уже дав­но исполь­зовали для атак на сот­рудни­ков и под­рядчи­ков круп­ных опе­рато­ров свя­зи.

«Веро­ятно, Lapsus$ были пер­выми, кто показал миру, что сущес­тву­ет мно­жес­тво уяз­вимых целей, помимо телеком­муника­цион­ных ком­паний, — говорит Ник­сон. — В мире пол­но целей, которые не при­вык­ли к таким ата­кам».

По дан­ным спе­циалис­тки, по край­ней мере один из нынеш­них чле­нов Lapsus$ в прош­лом был при­час­тен к взло­му ком­пании Electronic Arts. Тог­да вымога­тели пот­ребова­ли у EA выкуп, в про­тив­ном слу­чае угро­жая опуб­ликовать око­ло 780 Гбайт укра­ден­ного исходно­го кода. В интервью СМИ хакеры заяв­ляли, что получи­ли дос­туп к дан­ным EA пос­ле покуп­ки аутен­тифика­цион­ных фай­лов cookie для внут­ренне­го канала Slack ком­пании на под­поль­ном мар­кет­плей­се Genesis.

Ка­залось бы, при чем здесь Lapsus$? Все дело в упо­мяну­том выше WhiteDoxbin aka Oklaqq, который рань­ше занимал­ся вер­бовкой инсай­деров и, похоже, явля­ется лидером груп­пы. Помимо этих ников, он исполь­зовал мно­жес­тво дру­гих псев­донимов в раз­ных Telegram-каналах, одна­ко Telegram объ­еди­няет все псев­донимы учет­ной записи под одним Telegram ID.

Бла­года­ря это­му уда­лось понять, что еще в мае 2021 года Telegram ID WhiteDoxbin исполь­зовал­ся, что­бы соз­дать акка­унт в сер­висе для орга­низа­ции DDoS-атак, работа­ющем через Telegram, и тог­да этот человек скры­вал­ся под псев­донимом @breakbase. В свою оче­редь, новость о взло­ме EA впер­вые была раз­мещена поль­зовате­лем с тем же ником, Breachbase, на англо­языч­ном хак‑форуме RaidForums (который вско­ре был зак­рыт ФБР).

Кро­ме того, ана­лити­ки полага­ют, что в прош­лом WhiteDoxbin был одним из осно­вате­лей хак‑груп­пы Recursion Team. Сог­ласно ныне не сущес­тву­юще­му сай­ту груп­пиров­ки, она спе­циали­зиро­валась на под­мене SIM-карт и сват­тинге (от англий­ско­го swatting): к жер­твам домой вызыва­ли наряд спец­наза, сооб­щая о лож­ных угро­зах взры­ва, зах­вате залож­ников и так далее. Извес­тно немало слу­чаев, ког­да подоб­ные «шут­ки» закан­чивались для жертв леталь­ным исхо­дом.

ДОКСИНГ

ИБ‑экспер­ты счи­тают, что лидер хак‑груп­пы, WhiteDoxbin, — это тот же человек, который в прош­лом году купил дав­но сущес­тву­ющий сайт Doxbin, где любой жела­ющий может раз­местить лич­ную информа­цию о сво­ей жер­тве или най­ти чьи‑то лич­ные дан­ные сре­ди информа­ции о сот­нях тысяч человек, которые ранее уже под­вер­глись док­сингу.

Пос­ле покуп­ки новый вла­делец Doxbin не сумел обес­печить бес­перебой­ную работу ресур­са, поэто­му мно­гие учас­тни­ки Doxbin были серь­езно недоволь­ны его руководс­твом.

«Сооб­щес­тво Doxbin было очень разоча­рова­но, поэто­му они начали прес­ледовать его и тра­вить», — рас­ска­зыва­ет Ник­сон.

В янва­ре 2022 года WhiteDoxbin наконец неохот­но сог­ласил­ся отка­зать­ся от управле­ния Doxbin, про­дав сайт обратно пре­дыду­щему вла­дель­цу (и зна­читель­но потеряв при этом в день­гах). Одна­ко из мес­ти незадол­го до сво­его ухо­да WhiteDoxbin слил с Doxbin все дан­ные (вклю­чая при­ват­ные док­сы, которые не были опуб­ликова­ны и хра­нились на сай­те в виде чер­новиков), а затем рас­простра­нил их в Telegram.

Пос­ле это­го сооб­щес­тво Doxbin впол­не пред­ска­зуемо приш­ло в ярость и опуб­ликова­ло один из самых тща­тель­но под­готов­ленных док­сов в исто­рии. На этот раз док­сну­ли самого WhiteDoxbin, при­чем с жут­кими под­робнос­тями, вро­де лич­ной информа­ции о чле­нах его семьи и виде­оро­ликов, записан­ных ночью воз­ле его дома в Великоб­ритании.

Сог­ласно соб­ранным сооб­щес­твом дан­ным, WhiteDoxbin начал свою прес­тупную «карь­еру» с покуп­ки и про­дажи уяз­вимос­тей нулево­го дня.

«Пос­тепен­но он стал зараба­тывать день­ги и смог еще боль­ше рас­ширить свою кол­лекцию экс­пло­итов, — гла­сит слив на Doxbin. — Через нес­коль­ко лет его капитал уве­личил­ся до 300 BTC (око­ло 14 мил­лионов дол­ларов по текуще­му кур­су)».

Это впол­не сог­ласу­ется с тем, что в 2020 году Breachbase писал на RaidForums. Он заяв­лял, что обла­дает бюд­жетом в раз­мере 100 тысяч дол­ларов в бит­коинах, который он готов пот­ратить на кри­тичес­кие 0-day-уяз­вимос­ти в GitHub, GitLab, Twitter, Snapchat, Cisco VPN, Pulse VPN и про­чих инс­тру­мен­тах для уда­лен­ного дос­тупа или сов­мес­тной работы.

АРЕСТЫ

Ра­зуме­ется, изу­чав­шие активность Lapsus$ экспер­ты, будь то ана­лити­ки Microsoft или Flashpoint, Брай­ан Кребс или Unit 221B, не пуб­ликова­ли никаких лич­ных дан­ных WhiteDoxbin и не рас­кры­вали его нас­тоящую лич­ность. Дело в том, что, во‑пер­вых, он несовер­шенно­лет­ний (в нас­тоящее вре­мя ему 17 лет), во‑вто­рых, на тот момент его офи­циаль­но не обви­няли в совер­шении каких‑либо прес­тупле­ний, а слив на Doxbin и вов­се содер­жал мно­жес­тво лич­ной информа­ции о чле­нах его семьи. Впро­чем, ана­лити­ки Unit 221B не скры­вают того, что дав­но переда­вали соб­ранные дан­ные пра­воох­ранитель­ным орга­нам.

Уже пос­ле пуб­ликации этих ста­тей и иссле­дова­ний СМИ сооб­щили, что на прош­лой неделе полиция Лон­дона арес­товала семь человек в воз­расте от 16 лет до 21 года «в свя­зи с рас­сле­дова­нием деятель­нос­ти хакер­ской груп­пы». В нас­тоящее вре­мя все они находят­ся под следс­тви­ем. Инте­рес­но, что арес­ты сов­пали с объ­явле­нием о том, что нес­коль­ко чле­нов Lapsus$ на вре­мя ухо­дят в отпуск.

Су­дя по все­му, пред­полага­емый лидер груп­пы был сре­ди арес­тован­ных: сре­ди них при­сутс­тву­ет 17-лет­ний под­росток из Оксфор­да, к тому же стра­дающий расс­трой­ством аутис­тичес­кого спек­тра. Его отец заявил телека­налу BBC, что не знал, чем занима­ется его сын:

«До недав­него вре­мени я ничего об этом не знал. Он никог­да не говорил о хакерс­тве, но он очень хорошо раз­бира­ется в компь­юте­рах и про­водит за компь­юте­ром мно­го вре­мени. Я всег­да думал, что он игра­ет. Мы пос­тара­емся помешать ему про­водить столь­ко вре­мени за компь­юте­ром».

Ес­ли кого‑то из читате­лей удив­ляют наз­ванные сум­мы «доходов» WhiteDoxbin, а так­же талан­ты 15-лет­него (на тот момент) под­рос­тка, напом­ню, что это не такая ред­кость. К при­меру, в середи­не июня 2020 года ком­пания Twitter под­вер­глась самой мас­штаб­ной ата­ке за всю исто­рию сво­его сущес­тво­вания. Как вско­ре выяс­нилось, «идей­ным вдох­новите­лем» и орга­низа­тором этой ата­ки был 17-лет­ний под­росток из шта­та Фло­рида Грэм Айвен Кларк (Graham Ivan Clark), извес­тный в сети под псев­донимом Kirk.

Мария Нефёдова, xakep.ru