Hackinggruppen Lapsus$, kendt for at hævde at have hacket Nvidia, Samsung og flere, hævdede i denne uge, at den endda har hacket Microsoft. Gruppen postede en fil, som den hævdede indeholder delvis kildekode til Bing og Cortana i et arkiv med næsten 37 GB data.
Tirsdag aften, efter at have undersøgt, bekræftede Microsoft gruppen, at den kalder DEV-0537 kompromitteret “en enkelt konto” og stjal dele af kildekoden til nogle af deres produkter. Et blogindlæg på dets sikkerhedswebsted siger, at Microsofts efterforskere har sporet Lapsus$-gruppen i ugevis og beskriver nogle af de metoder, de har brugt til at kompromittere ofrenes systemer. Ifølge Microsoft Threat Intelligence Center (MSTIC), “er formålet med DEV-0537-aktører at få øget adgang gennem stjålne legitimationsoplysninger, der muliggør datatyveri og destruktive angreb mod en målrettet organisation, hvilket ofte resulterer i afpresning. Taktik og mål indikerer, at dette er en cyberkriminel aktør motiveret af tyveri og ødelæggelse.”
“Microsoft stoler ikke på hemmeligholdelsen af kode som en sikkerhedsforanstaltning”
Microsoft fastholder, at den lækkede kode ikke er alvorlig nok til at forårsage en øget risiko, og at dets svarhold lukkede hackerne ned midt i operationen.
Lapsus$ har været på tårer for nylig, hvis man skal tro dens påstande. Gruppen siger, at den har haft adgang til data fra Okta, Samsung og Ubisoft, såvel som Nvidia og nu Microsoft. Mens virksomheder som Samsung og Nvidia har indrømmet, at deres data var stjålet, skubbede Okta tilbage mod gruppens påstande om, at den har adgang til sin autentificeringstjeneste og hævdede, at “Okta-tjenesten ikke er blevet brudt og forbliver fuldt operationel.”
< p id="YgBYlr">Microsoft:
I denne uge fremsatte skuespilleren offentlige påstande om, at de havde fået adgang til Microsoft og eksfiltreret dele af kildekoden. Ingen kundekode eller data var involveret i de observerede aktiviteter. Vores undersøgelse har vist, at en enkelt konto var blevet kompromitteret, hvilket giver begrænset adgang. Vores cybersikkerhedsresponsteams engagerede sig hurtigt for at afhjælpe den kompromitterede konto og forhindre yderligere aktivitet.
Microsoft stoler ikke på hemmeligholdelse af kode som en sikkerhedsforanstaltning, og visning af kildekode fører ikke til risikoforhøjelse. Taktikken DEV-0537 brugt i denne indtrængen afspejler de taktikker og teknikker, der er diskuteret i denne blog. Vores team undersøgte allerede den kompromitterede konto baseret på trusselsefterretninger, da skuespilleren offentligt afslørede deres indtrængen. Denne offentlige offentliggørelse eskalerede vores handling, hvilket gjorde det muligt for vores team at gribe ind og afbryde skuespilleren midt i operationen, hvilket begrænsede en bredere virkning.
Dette er ikke første gang, Microsoft hævder, at det antager. angribere vil få adgang til dens kildekode – den sagde det samme efter Solarwinds-angrebet. Lapsus$ hævder også, at den kun fik omkring 45 procent af koden til Bing og Cortana, og omkring 90 procent af koden til Bing Maps. Sidstnævnte føles som et mindre værdifuldt mål end de to andre, selvom Microsoft var bekymret over, at dets kildekode afslørede sårbarheder.
I sit blogindlæg skitserer Microsoft en række trin andre organisationer kan tage for at forbedre deres sikkerhed, herunder at kræve multifaktorautentificering, ikke at bruge “svage” multifaktorautentificeringsmetoder som tekstbeskeder eller sekundær e-mail, at uddanne teammedlemmer om potentialet for social engineering-angreb og skabe processer for potentielle svar på Lapsus$-angreb. Microsoft siger også, at det vil blive ved med at spore Lapsus$ og holde øje med eventuelle angreb, det udfører på Microsoft-kunder.