新智元报道
编辑:袁榭 好困
黑客组织Lapsus在不到半年的时间里花费了很多时间, 从巴西政府到英国政府, 现在还有微软。
最近,勒索伊维特的拉普修斯人再次黑进了微软!
近几个月来,Lapsus美元因其声望而越来越受欢迎。
Yin Weida、Samsung、Vodafone、Yuphi和其他公司均受到伤害
最糟糕的是,有英国威达。
毕竟,源代码已经公布,文件大小高达75GB,只有75GB。
不幸的是,在最后通牒发出半个月后,拉普苏斯元没有取得任何进展。
Lapsus$尚未向微软(商业软件Behmoth)提出请求。
微软也难逃厄运
拉普苏斯(Lapsusus)于周日早上在电报上张贴了一个内部资料库的截图, 似乎被黑入Azure的内部开发商账户, 微软云计算部。
Cortana和其他Bing项目的源代码载于照片中看到的Azure DevOps图书馆。
据Lapsus说,重新填充Bing地图代码的90%已经完成,Cortana和Bing代码的45%已经完成。
Bing_STC-SV:该项目为硅谷不同的Bing工程举措提供源代码。
Bing_Test_Agile:基于灵活框架的 Bing测试项目。
Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing、Bing
BingCubator: BingCubator小组
Bing-来源:一个存储 Bing源代码的单一物体。
WebXT 合规小组项目:合规工程
Cortana:所有与Cortana有关的代码和工作项目
令人惊讶的是,勒索戒指把登录用户的初始“IS”留在了屏幕截图中。
这基本上是微软账户目标明确指标。
我不知道我是否注意到, 但拉普苏斯在屏幕截图发布后不久就撤销了这篇文章。
取而代之的是以下信息:“暂时删除并稍后交付。 我不知道我在说什么。”
但是,由于最初的暴露比值,Lapsus$不再能够进入储存库。
当然,这并不排除拉普苏斯元只是单方面嘲笑微软的可能性。
拉普苏斯元通常被认为与以前的受害者相同。
虽然微软没有确认他们的Azure DevOps账户是否被泄露,但它在回应媒体采访的电子邮件中说,“我们知道这些说法,并且正在审查这些说法。我不知道我在说什么。”
可悲的是,拉普苏斯的信用记录是“优秀的 ”, 他们关于对其他公司的攻击后来被发现是真实的的说法后来被证实是真实的。 如果你们不相信我,请问英伟达利奥图利(Ying Wei Darealortulately ), 拉普苏斯的信用记录是“优秀的 ”, 他们关于对其他公司的攻击后来被发现是真实的的说法后来被证实是真实的。 如果你不相信我,请问英伟达(Ying Wei Wei Da ) 。
不过,安全公司Darktrace全球威胁研究负责人Toby Lewis更谨慎地说:「除了制作个人内部成长仪表板的快照外,没有额外证据。虽然拉普苏斯元有效地渗透了庞大的机构,但这已经不可能了。但是,快照给我们提供的信息很少。」
代码泄露,问题不大
虽然泄露源代码可能更容易发现软件缺陷,但微软早些时候曾说,其威胁模式认为,威胁行为体已了解其软件是如何运作的,不会通过反向工程或先前违反源代码而增加风险。
「在微软,我们在制订内部源代码方面采取了一种 " 同类办法 " 。这是第一次建立开放源码文化,开放源码社区的经验最丰富。创建微软的内部代码。这意味着我们不依靠源代码的保密来保证产品的安全。我们的威胁模式 假设攻击者可以进入 源代码。微软在博客文章中描述索尔温特攻击者是如何获得源代码的:"因此,对源代码的调和 与风险的增加无关"」
另一方面,源图书馆经常包括存取签名、证书、API钥匙、甚至代码签名证书。
当Lapsus美元侵犯Weida并公布其数据时,他们留下了一个代码标志证书,其他袭击者迅速使用该证书签署恶意软件。
使用英属 Weida 代码签署证书将导致一个抗病毒引擎,相信可执行文件,而不承认其为恶意软件。
微软在回应时指出, 他们有一项发展政策, 禁止将“秘诀”,
即便如此,这并不排除源代码中可能包含其他重要数据的可能性,如私人加密钥匙或其他专有工具。
与先前的受害者一样, 拉普苏斯元公布失窃数据只是时间问题。
通过钓鱼和直接购买代码攻击目标。
与公众所知的许多其他勒索团体不同,Lapsus$没有在受害人的计算机上安装勒索软件。
相反,它们针对的是巨型公司源银行,获取机密数据,然后试图用数百万美元“出售”给受影响的公司。
据称,Lapsus$正与大型技术公司的内线商谈,以获取敏感信息。
3月10日张贴了一个社交网站。 之后, 声明概述了希望渗透的公司, 包括苹果公司、IBM公司和微软公司。
黑客在博客文章中详述了他们敦促叛逃者协助他们进入目标公司网络的具体方式:
“请记住,我们不是直接要求数据, 我们正在寻找内部工人, 以提供他们公司的内网VPN或CITRIX外联网接口,
据网络安全公司称,黑客集团的攻击方法,除了直接购买着陆码和接口外,还包括典型的捕鱼攻击和对目标网络的网络测试。
长期以来已经证明的老方法允许攻击者在目标网络之外逗留数周。
在黑客组织中,拉普苏斯元在社交媒体形象的建设和声音的提高方面是不寻常的,该组织既寻求声誉,也寻求金钱。
拉普苏斯元并不经常直接加密被破坏的系统,并参与敲诈软件攻击,而是威胁要披露其窃取的信息,直到受害者支付钱款为止。
该组织想要钱的方式及其要求的频率,应该完全由功绩驱动,没有政治目的,也没有国家一级的实体认可,而该组织想要钱,要求钱的频率应该完全由功绩驱动,没有政治动机或国家一级的实体赞助。
但网络盗贼是如此贪婪,以至于他们渴望金钱,他们不会消失,而网络安全公司预测,这种攻击今后将变得更加常见。
这些黑客在成功地袭击了英国大威达和三星之后,声称完全受金钱驱使的黑客集团赢得了信心,提高了他们的目标。
那16岁自闭症男孩的帮派呢?
拉普苏斯元仍然是黑客世界的"新人"
2021年底首次公布了Lapsus$的展望,重点是巴西和葡萄牙的企业。
首先是巴西卫生部、葡萄牙媒体业Impresa、南美电信公司Claro和Empratel以及葡萄牙议会。
然而,根据互联网来源,Lapsus$行动可追溯到2021年6月。
一名用户在地下论坛文章中表示:「黑客攻击游戏巨头EA是因为Lapsus$,
此后,提供了EA游戏FIA21源代码。
拉普苏斯美元还暗示,他应对2022年3月令人发指的事件负责。
目前地下地区的冲突 暴露了帮派成员的隐蔽身份
该组织的所谓领导人是居住在联合王国的一名16岁的自闭症青少年,他的黑暗网络身份包括SigmA、wh1te、Breakbase和Alexander Pavlov。
这是SigmA身份证用户在购买 doxbin 并将其出售给原厂主之后暴露出来的结果,SigmA在无果而终的干预之后被指为Lapsus$的头,并报告说已经被监禁。
Lapsus$的社交网络频道后来传说,SigmA/Alexander Pavlov没有被拘留,这表明SigmA/Alexander Pavlov实际上是Lapsusus上尉。
网络安全公司发现,当SigmA经营 doxbin 网站时, doxbin 子网与当时的Lapsus $网站拥有相同的子网。
这是一种恐惧感 也是对未来的希望渺茫
参考资料:
https://www.bleepingcomputer.com/news/security/microsoft-investigating-claims-of-hacked-source-code-repositories/
https://www.vice.com/en/article/y3vk9x/microsoft-hacked-lapsus-extortion-investigating
https://www.silentpush.com/blog/lapsus-group-an-emerging-dark-net-threat-actor