目前,微软公司和Okta公司正在调查和核实黑客组织Lapsus$早些时候声称破坏和攻击他们的系统是真的。黑客组织Lapsus$自称已获访问Okta公司内部系统的“超级用户/管理员”权限。并且还在Telegram最近发布了频道40GB该文件包括据说来自微软内部项目和系统的屏幕截图和源代码。这个令人震惊的消息最早是由Vice和路透社报道。
Okta该公司周二证实,该公司确实受到了网络黑客的攻击,一些用户也受到了不同程度的影响。虽然网络安全漏洞的范围尚不清楚,但不乐观的是,漏洞可能是巨大的。据该公司称,它们正在为数亿用户提供网络平台服务,包括联邦快递、穆迪(债务评级机构)、T-Mobile公司(德国电信子公司)、惠普公司和GrubHub数千家大公司的员工,如公司(美国大型食品配送公司)。
微软发言人告诉我Threatpost,在公司内部调查时发现一个具有访问权限的公司账户被盗。微软公司的网络安全响应团队正在迅速地对被盗账户进行补救,亡羊补牢,犹未为晚,以防止黑客组织利用该账户进行下一步的活动。该发言人同时表示他们并不将代码的保密性作为唯一地网络安全防范措施,查看源代码的行为与公司内的风险提升并无直接的联系。微软的威胁情报团队在周二发布了一个博客,详细介绍了其观察Lapsus$微软将其标记为活动DEV-0537。
非常令人担忧
被泄露的Okta屏幕截图包括Okta公司Slack频道以及其Cloudflare界面。Lapsus$该组织在随后的消息中表示,他们只关注Okta用户。
独立安全研究员Bill Demirkapi在推特上,屏幕截图泄露的内容非常令人担忧。LAPSUS$组织似乎已经获得了@Cloudflare租户的访问权限可以重置员工密码。
Cloudflare公司在周二宣布,该公司不会拿员工的Okta许可冒险。Cloudflare公司联合创始人兼首席执行官Matthew Prince他们在推特上说,他们使用它是为了谨慎。Okta系统验证员工身份。
出于谨慎,我们正在重置过去四个月员工密码的更改@Okta凭证。我们永远不会妥协网络攻击。但鉴于它Okta该公司只是一家从事网络安全验证的公司,如果他们有问题,我们也会及时评估取代他们的计划。
— Matthew Prince ?2022年3月22日
长时间的网络安全漏洞令人担忧
Demirkapi另一个可怕的地方是从屏幕截图中发现的:屏幕截图的时间表示日期Lapsus$组织至少于2022年1月21日之前就进入安全系统内部。Demirkapi如果日期正确,则表示Okta公司至少两个月没有公开承认其内部违规行为。
屏幕截图非常令人担忧。在图片中,LAPSUS$组织似乎已经获得了@Cloudflare租户的访问权限可以随意重置员工密码:pic.twitter.com/OZBMenuwgJ。
— Bill Demirkapi(@BillDemirkapi)2022年3月22日
如果这些日期是真的,那就意味着Lapsus$组织已经黑入Okta公司系统已经持续了几个月,这也表明Lapsus$组织在被发现之前享受了短暂的狂欢节。这无疑是事实。
本周二Okta首席执行官Todd McKinnon2022年1月在推特上表示Okta公司发现了一个Okta子处理器工作的第三方客户支持工程师试图妥协,但已由子公司调查处理。Okta该公司认为网络流出Lapsus$屏幕截图与1月份的事件有关。Okta首席执行官表示,根据他们迄今为止的调查,除了1月份发现的活动和活动Lapsus$没有其他证据表明有持续的恶意活动。
我们认为,在线共享屏幕截图与今年1月的活动有关。根据我们迄今为止的调查,除了1月份发现的活动外,没有证据表明持续恶意活动。
— Todd McKinnon(@toddmckinnon)2022年3月22日
内部员工参与吗?
如果上述日期准确,则意味着Lapsus$3月10日,在其电报频道上发布需要帮助的通知很可能会成功响应。该组织声称,它希望招募一些公司内部人士来帮助他做肮脏的工作。这些公司包括微软和其他大型软件和游戏公司,包括苹果IBM公司、EA、包括一些电信公司Telefonica(西班牙电话公司),ATT(美国电话电报公司)等。
Lapsus$3月10日组织电报帖:
我们正在招聘以下员工/内部人员!!!注:我们不在寻找数据,我们正在寻找能够为我们提供服务的数据VPN或CITRIX这意味着网络犯罪分子可以在内部人士的帮助下渗透到目标网络。
关于必应、必应地图,Cortana被盗的数据
周一,Lapsus$组织开始分发10GB压缩档案,据说包括微软必应搜索引擎、必应地图内部数据和公司语音助理软件Cortana的源代码。
泄露的数据日期为2022年3月20日。
“Bing地图完整转储90%。Bing和Cortana约为45%,”Lapsus$在其电报频道上写道。
微软承认了这些说法,并表示正在尽最大努力进行调查。
Lapsus$组织调侃了Okta公司索赔声明
周二,Okta公司首席安全官Davis Bradbury在更新声明中提出Lapsus$该组织的索赔在几个小时内被嘲笑。Demirkapi发布在推特上Lapsus$组织回应:
LAPSUS$勒索软件集团是对的Okta声明作出了以下回应。pic.twitter.com/D6KYQjnKPU
— Bill Demirkapi(@BillDemirkapi)2022年3月22日
除此之外,Lapsus$该组织还开玩笑说Bradbury1月份该组织试图破坏工程师笔记本电脑的描述,Lapsus$组织声称该名工程师并没有提供有效的信息。该团伙还嘲笑Bradbury他们在1月份访问工程师账户的尝试没有成功。我们仍然不确定如何失败?我们成功登录了超级用户门户网站,可以重置密码,登录约95%的客户MFA,这不成功吗?Lapsus$该组织还表示,Okta公司声称的相关攻击只会导致有限的潜在影响是错误的。他们确信重置密码和MFA许多客户端系统将完全损坏。本文发表时,Okta该公司尚未回应Threatpost对Lapsus$索赔发表评论的请求。
Lapsus$组织发动了更多的攻击
显示相关信息Lapsus$该集团发动了越来越多的高调攻击。去年12月,它袭击了巴西卫生部,推翻了几个在线实体,成功删除了巴西公民新冠肺炎疫苗接种数据的信息,破坏了数字疫苗接种证书签发系统。Lapsus$削弱葡萄牙媒体巨头Impresa;攻击英伟达,使用代码签名证书签署恶意软件,使恶意程序跳过Windows系统内部的安全保护措施;以及从三星窃取的大量专有源代码;攻击刺客信条电子游戏开发商育碧。据《安全周刊》报道,该组织周一还声称攻击了电子巨头LGE。
Lapsus$是万用牌
在网络安全公司工作GuidePoint Security防勒索软件专家兼首席威胁情报分析师Drew Schmitt,凭借多年与勒索软件谈判和威胁情报的经验,可以直接与组织沟通互动。
周二他告诉我Threatpost,该组织是一张万用卡(万用卡:扑克游戏的转换术语,首先是不可预测的,但何时可以发挥重要影响)。因为黑客组织不会为了勒索而加密文件或数据,而是利用泄露的敏感数据来用于主要的勒索工作。他认为,勒索的目的是不同的Lapsus$组织与来自Conti、Lockbit等团体使用传统的勒索软件方法是不同的。他还指出,Lapsus$组织与传统勒索软件组织的另一个区别在于,它们使用它们Telegram通信和勒索,而不是使用TOR网站泄露服务托管信息。
此外,他还认为,根据3月11日组织内部人士的招聘信息,他们对目标的初步访问是非正统的。Schmitt认为,Lapsus$该组织显然是独立运作的,这与辛迪加或国家赞助的其他网络犯罪/勒索软件无关。当然,随着对该组织的分析,上述判断可能会发生变化。因为这个群体在过去的几周里很有名,Schmitt他的同事可能会通过新的情报表明该组织与其他已知群体和辛迪加有关。
Schmitt说,Lapsus$勒索软件的游戏方式正在改变。他们没有使用传统的初始访问方法,远离文件加密,偏离传统的泄漏网站的基本方法。他预测,这些变化可以被更传统的勒索软件组所借鉴。
他们的目的不仅仅是这样
据安全专家介绍,据安全专家介绍,Lapsus$组织对Okta这一举动清楚地表明,他们的目的不仅仅是勒索。前政府安全分析师、第三方风险管理公司CyberGRX现任首席信息安全官 Dave Stapleton认为,Lapsus$组织希望提高其知名度——最好招聘愿意在大型科技公司出售远程访问的人。他周二告诉我Threatpost,另一个影响深远的供应链攻击也可能是由它发动的。
Stapleton在接受电子邮件采访时,他们认为,虽然细节很少,但很明显,攻击者正在努力打旗,以继续提高他们的知名度和地位,这将有助于他们招聘愿意出售主要技术公司和ISP远程访问的内部人士。通过他们Okta最新的活动可以找到Lapsus$集团本质上是在向潜在新人宣传他们的运作模式。
鉴于Okta公司是世界各地组织的重要身份提供商,Stapleton担心这是丰田等公司生产供应链攻击的一部分。Okta客户会密切关注这一事件。供应链攻击的威胁当然引起了我的注意。
Breakwater Solutions董事总经理Kevin Novak认为Okta后台漏洞的范围可能非常有限。否则,鉴于Okta庞大的客户群,他们现在应该知道发生了什么。他说:虽然有人猜测黑客组织的成功攻击是否让人发现了Okta后台存在漏洞,但到目前为止,Okta后台的全面妥协似乎变得更加明显,但我们将继续关注未来几个月。
Novak指出:如果Okta妥协会Lapsus$如果组织攻击客户信息,如泄露客户凭证、关键材料或与可能导致客户妥协的环境相关的源代码,则Okta由于对事件缺乏充分的了解,未能及时通知,这一领域可能会受到更大的审查。
如何应对?
到目前为止为止Okta漏洞及时弥补漏洞。但尽管如此,我现在可以采取一些措施来保护其员工和网络。Expel全球运营总监Jon Hencinski告诉Threatpost,立即采取的预防措施包括生成具有特权的预防措施Okta密码和Okta令牌,以及审查Okta过去四个月的管理员身份验证和活动。
其他提示如下:
- 改变审查配置,确保其与预期行动和来源一致。
- 审查管理员的身份验证信息,确保它们来自数据源用户。
- 在同一时期发现被子MFA禁用的Okta账户,确定此类用户被禁用的根本原因,然后重新启用这些账户MFA。
- 在审查过程中,及时与利益相关者沟通你正在做什么和已经做什么。
- 同时也是测试事件响应计划(IRP)如果你没有IRP,请创建一个,然后反复测试。
机会永远留给有准备的人。Hencinski补充道。
来源:https://threatpost.com/lapsus-data-kidnappers-claim-snatches-from-microsoft-okta/179041/