蒂娜,你是核子可卡因
许多公司源代码,包括微软和英国Weida的源代码,在工程师被青少年黑客“买下”时被大量采用。
本周,微软和身份管理平台Okta都揭露了这些异常情况。作为网络犯罪领域的“新力量”Lapsus$被用来窃取大公司的数据。它还利用公共数据的内容来勒索心怀不满的公司支付赎金。经过调查发现,组织不是一个非常危险的"状态"领导人不满18岁。然而,没有对他提出正式指控。
大公司为安保投资了数千人和数亿美元。该项目具有高度的信任、非编码认证和其他特征。不幸的是,很难阻止一名年轻人通过侧入口的左侧进行攻击。在本文中,我们将讨论我们关于拉普苏斯过去和现在的知识。展示他们如何利用简单技术犯下令人发指的罪行。
1
入侵很多公司,我们受够他们了
本周,微软承认Bing、Cortana和其他项目的源代码已经暴露。大约 37GB ,根据黑客集团Lapsus$,它占Bing源代码的90%,占Bing地图和Cortana语音助理代码的45%左右。
泄露的源代码项目
博客在最近的推特上说:微软透露,它被拉普苏斯的黑客勒索。小组得以查阅微软公司工人的一个账户。该项目的源库有“限制访问”微软坚称,泄露的代码还没有严重到足以增加风险的程度。"我们的安全措施不依靠密码保密"
微软长期以来一直高度重视公司安全。他还找到了查理·贝尔 亚马逊前执行官作为一个新形成的安保、合规、身份和管理机构,10 00多人可能在这一领域工作。这相当于微软公司工人总数的大约5%(约200,00人)。在网络安全投入和收入方面,微软已升至互联网安全沙皇的位置。但意外的是,投入如此之大,拉普苏斯能很快打破它
拉普苏斯元以前曾披露Okta、Weida、三星和Yuphi的数据。
Okta是一家跨国公司,向FedEx等公司提供身份鉴定服务。根据网站数据,他们有近15 00名客户。本周二,Okta透露,2022年1月,袭击者接触了他们工人的一个装置。大约2.5%的消费者可能受到影响。例如,已查看了客户数据。
Okta发布了一些最新调查以及网络研讨会示范。声称赞助工程师的第三方客户的账户被泄露。毕竟,来自多种文化的第三方承包商已经司空见惯。该账户功能有限,黑客只在那里呆了五天Lapsus$在Telegram上写道:这些在Okta的系统里住了好几个月还公布了内部系统简况。作为一个超级用户 这是我第一次看到入侵账户客户账户可以修改和查阅。
今年 2 月底,Lapsus$(Lapsus$)公开承认 Weida是网络攻击的受害者。他声称在前往英国的路上有1个TB数据。仅硬件文件夹就需要大约250GB。它包括“所有最新的Nvidia GPU” 高度机密/机密信息,等等。
3 月初,黑客集体拉普苏斯(Lapsusus)从三星软件中发布了C/C++指令的快照。然后将信息公之于众。在Tristar TrustZone环境中为敏感操作设置的每个可信赖子程序(TA)的源代码、所有生物鉴别解锁装置的算法、所有最新的三星装置的源代码、三星激活服务器的源代码、用于授权和核实三星账户的技术的整个源代码、来自高访问权限的秘密源代码等等。3 月 7 日,三星在一份声明中确认了数据丢失数据可高达190G。
3月12日, Ubisoft 发表声明, 表示公司曾面临“网络安全问题”, 攻击者试图破坏公司安全,
2
微软的调查结果:通过人员获取成功入侵目标组织。
拉普苏斯第一起事件发生在2021年12月,当时对巴西卫生部进行勒索,在随后的几个月里,拉普苏斯公司越来越受欢迎,因为一些知名公司,包括NVIDIA、三星和沃达丰公司加入了受害者名单。
3月22日(星期二)Lapsus$在自己的电报频道上发布最新消息。据报告,微软被盗源码正在泄漏。根据微软(Microsoft)星期二的博客,因此,没有完整的源代码。我们得以及时发现,因为我们今后将无法发现。原因是Lapsusus$在下载完成前就开始“庆祝”, 并在Telegram上公开宣布非法入侵。
在电报频道上,Lapsusus美元团队的一名成员说,从微软下载源码的程序目前实际上已经停止。
微软在博文中写道,"对立方的公开披露提醒我们 尽快加强防御措施"微软团队能够相互干预,阻止对方的数据下载。在调查中,我们发现一个账户被抢了因此,另一方被限制进入,我不知道我该怎么办。从这次事件看,拉普苏斯元似乎是那些第一次想有所作为的年轻人之一,但恰恰相反,拉普苏斯元袭击法发展完善,值得企业保安部门注意。微软表示,拉普苏斯元(微软内为“Dev-0537”)通用工程师命名方法)导致了非法入侵,主要是社会工程的入侵。具体来讲,贿赂或欺诈目标组织的雇员和伙伴(例如客户服务中心和服务台)。这是获得内部访问许可的一种方法。
微软说,“MSC发现黑帮通过购买人员(或供应商/商业伙伴的雇员)而有效地进入了目标公司,”微软说,“我不知道我该怎么办。”
博文进一步补充道:
"Dev-0537也被提升"政府表示愿意购买针对特定个人的文件。雇员和承包商可自由组成。要达成交易,同事必须通过多要素警报提供自己的登录和核实。在公司桌面上为该组安装 AnyDesk 或其他远程管理软件 。这帮助攻击者控制了经过考验和真实的系统。除此之外,在安全准入以及目标公司与其服务提供者/供应链之间的商业互动方面,DEV-0537还计划了其他的破坏。我不知道我该怎么办。
目前,Lapsus$Telegram频道已有45 00多名追随者。微软指出,Lapsus$过去用来在频道上刊登广告, 但那是个坏主意。根据设想,将招聘大型移动电话制造商、大型软件和赌博公司、接待护理机构和客户服务中心。
我们的消息来源已经通知了我们自2021年11月以来,全国至少发生了几起暴力侵害妇女的事件。拉普苏斯元利用社交媒体网站购置了内部工作人员。去年,Lapsusus$集团的一位主要成员利用Reddit用户名“Oklaqq”和“WhiteDoxbin”张贴招募材料。表示愿意为 AT&T、T-Mobile 以及 Verizon 的员工开出每周 2 万美元的价码,以换取替他们做一些“内部工作”。
Lapsus$的Oklaqq(又称WhiteDoxbin)主动提出以每周20 00美元的价格购买美国主要机动车的内部工人。
拉普苏斯公司相当数量的就业广告是英文和葡萄牙文,根据因特网情报公司Flashpoint的资料,该团体的大多数受害者(总共15人)也集中在南美洲和葡萄牙。
闪光点在他的分析中写道:Lapsus$(Lapsus$)目前没有知名网站或传统社交媒体账户,拉普苏斯元似乎已经习惯了。正在发生一波高调破坏数据的事件。该组织说,它没有得到国家的支持。因此,操作员很可能经验丰富,并且表现出了深厚的技术知识和能力。我不知道我该怎么办。
微软说,Lapsusus$希望利用目标组织工作人员的个人电子邮件账户,因为他们知道,大多数工作人员现在将使用VPN远程进入雇主网络。
微软写道,“在某些情况下,拉普苏斯元最初将针对并没收个人或私人账户(与工作无关)。访问完成后,寻找可用于进入公司系统的进一步文件。鉴于雇员经常使用个人账户或电话作为双重要素认证或密码收回方法,因此,小组同意利用这个方法来重设代码并恢复账户活动。我不知道我该怎么办。在其他一些情况下,Lapsus$还试图与目标组织的服务台联系,但无法工作。试图说服技术支持雇员使用声音取代授权证书账户。
微软还解释道,"本组织将派一位成员 说英语作为其第一语言"利用以前收集的数据(例如,利用以前收集的信息(个人数据图象)与客户和客户交谈是不可行的。这将提高社会工程的效率。鉴于先前所发现的情况,DEV-0537试图回答提醒问题比如"你住的第一条街" 或者"母亲的真名" 这是你住的第一条街这是获得客户和服务提供者信任的一种方法。各种企业现在都使用外包客户服务。DEV-0537的计划是利用这个分手联系 来让客户放弃他们的技能
Lapsus$使用电报吸引组织内部的工作人员。
3
通过交换手机卡,安全程序被绕过。
微软提到,拉普苏斯元还通过更换其移动电话卡,进入目标组织的主要账户。期间,袭击者受到贿赂或胁迫,允许流动经营者的工人将目标移动电话号码转到袭击者指定的设备上。以此为基础,攻击者可向受害人发送短信或一次性密码。这取代了通过短信验证的在线账户密码。
微软写道,“这些技术包括社会工程的呼唤形式, 改变手机卡以完成考量, 访问目标组织人员的个人电子邮件账户, 购买目标组织雇员/供应商/商业伙伴获取文件,
221B股是一个设在纽约的网络安全咨询组织。该公司的首席研究官Allison Nixon一直在密切监测网络犯罪行动,例如手机换卡。Nikon和Palo Alto Networks合作 一家保安公司一些成员在形成拉普苏斯元之前跟踪。根据长期研究,他们发现,黑帮利用社会工程战术腐蚀主要机动车的内部人员和承包商。
这是我这辈子第一次见到一位女士"Lapsus$也许是第一个犯罪集团" "找到另一条路,"它还提高了全世界的认识,即电信操作系统不是单一的,还有其他“软目标”可以使用。在此之前,网络犯罪组织很少考虑这个问题。我不知道我该怎么办。
微软指出,拉普苏斯元还使用了“红线”密码盗窃工具,为暴露的密码收集公共代码储存库,以及从犯罪论坛获得的凭单和会议签名。总之,只要他们成功 违反受害者组织,拉普苏斯元与具体的攻击概念无关。
还有另一个有趣的方面要提Nixon 发现,至少一名Lapsusus成员似乎参与了去年对赌博制造者EA的袭击。据勒索者说,如果赎金没有支付,780GB源代码将予公布。在接受媒体采访时,黑客声称购买了SEA黑道 确定他们需要的饼干 从创世纪黑市获得EA数据
当时媒体报导:“黑客们表示,在进入EA Slack频道之前,之后,他们欺骗EAIT支持工人,让他们进入公司的内部网络。我不知道该怎么办。
尼克松,为什么你能推断 拉普苏斯最有可能是 EA袭击的幕后黑手呢?根据上述招聘信息简况,“白道克斯宾/Oklaqq”似乎是拉普苏斯美元组织的负责人。在各种电报频道上,使用了几个别名。但是,电报有一个功能。同一账户下的所有别名都将配有电报识别号码。可以看出,背后的所有观点都是同一个人。
2021年5月白道克宾的电报识别码 用来报名参加电报服务它被用来实施分布式的拒绝服役(DDoS)攻击。他们当时被称为“@breekbase”。用户Breakbase去年在英国黑客网站Raid Forums上首次报导了EA被黑客入侵的消息,顺带一提,联邦调查局最近关闭了 突袭论坛网站
4
首领是未成年人吗?
Nixon 提到,一旦发现拉普苏斯的美元领导着大兄弟去年买下Doxbin网站的买家是白oxbin。Doxbin 是一个只有文本的网站 。如果你想成为其中一部分,你可以从中获取信息。以前公布的数十万个“人类搜寻”数据集也随时可用。
显然,Doxbin业绩不佳的新主人导致网站一些死硬成员公开批评他的管理能力。
尼克松说,“个人绝对不是一个好管理者,甚至不能让网站保持正常运作。” Doxbin社区对此不满意,开始滥用白oxbin,甚至骚扰他。我不知道我该怎么办。
尼克松还说:2022年1月, 白oxbin遗憾地交出了Doxbin网站,将论坛的折扣还给原所有者。然而,在放弃控制之前整个Doxbin数据集已通过Telegram向公众发布(即使是尚未正式公布并仅作为草稿储存的私人搜索结果)。
Doxbin社区对此反应非常愤怒, 发起历史上最全面的“人类猎杀”白式Doxbin,
据达克斯宾用户称,白oxbin的钱来源于零日贸易差距--一种安全脆弱性,存在于各种流行软件和硬件中,但工程师甚至不承认。
Doxbin 写道 : “ 多年以来, 他的净资产被详细阅读超过300比特币(大约300比特币,
2020 年,白oxbin也被称为 " Raid Forums的突破基地 " 。他们找到了价值一百万美元的比特币计划从Github、Gitlab、Twitter、Snapchat、Cisco VPN、Pulse VPN等远程访问/协作方案中零天的脆弱性购买数量。
Breekbase在2020年10月关于突袭论坛的发言中表示,他希望与世界分享。"我的第一个预算是比特币10万美元",我解释说。任何提供有用信息的人都会收到一万美元比特币另外,如果你知道有别人 或某个网站可以卖掉这些信息 请告诉我也请回复。请记住,你提到的零日差距必须具有高度/重大的影响。我不知道我该怎么办。
然而,白多米尼克的真名还没有被揭发。理由是他还是个未成年人(目前 17 岁)、然而,没有对他提出正式指控。另一方面,Doxbin的搜身条目已经掌握了有关白道宾家庭成员的个人信息。
Nixon 表示,在形成拉普苏斯元之前白oxbin是“革命团队”组织的创始成员。根据网站归档信息,该团体的大部分活动围绕移动卡互换和“假警报”袭击。换言之,诸如假炸弹威胁、劫持人质等暴力事件都向当局报告。相互诱使对方进行预谋的致命伏击。
递归小组已经解散,但他们的网站写道 : “ 我们是由互联网的狂热分子组成的,他们专门研究安全渗透、软件开发和僵尸网络等才能。我们的战略很有希望,我们期待着你们加入我们。 ”
参考链接:
https://www.bleepingcomputer.com/news/microsoft/lapsus-hackers-leak-37gb-of-microsofts-alleged-source-code/
https://www.theverge.com/2022/3/22/22990637/okta-breach-single-sign-on-lapsus-hacker-group
https://twitter.com/theprincessxena/status/1506647842424856580
https://twitter.com/_MG_/status/1506109152665382920
https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/