No Comments

Microsoft bestätigt Verletzung von Lapsus$, nachdem Hacker den Quellcode von Bing und Cortana veröffentlicht haben

 

Microsoft hat bestätigt, dass es von der Hacking-Gruppe Lapsus$ verletzt wurde.

In  ein Blogpost am Dienstag – Stunden nachdem Lapsus$ eine Torrent-Datei veröffentlicht hatte, die einen Teil des Quellcodes von Bing, Bing Maps und Cortana enthielt – Microsoft gab bekannt, dass das Konto eines einzelnen Mitarbeiters von der Hackergruppe kompromittiert wurde, und gewährte den Angreifern „ eingeschränkten Zugriff“ auf die Systeme von Microsoft und den Diebstahl des Quellcodes des Unternehmens ermöglichen.

Microsoft fügte hinzu, dass kein Kundencode oder Daten kompromittiert wurden.

„Unsere Cybersecurity-Reaktionsteams haben sich schnell engagiert, um das kompromittierte Konto zu reparieren und weitere Aktivitäten zu verhindern“, sagte Microsoft. „Microsoft verlässt sich nicht auf die Geheimhaltung des Codes als Sicherheitsmaßnahme, und das Anzeigen des Quellcodes führt nicht zu einer Erhöhung des Risikos. Unser Team untersuchte das kompromittierte Konto bereits auf der Grundlage von Bedrohungsinformationen, als der Akteur sein Eindringen öffentlich bekannt gab. Diese öffentliche Offenlegung hat unsere Aktion eskaliert und es unserem Team ermöglicht, einzugreifen und den Akteur mitten im Einsatz zu unterbrechen, wodurch die Breitenwirkung eingeschränkt wird.“

Microsoft hat keine weiteren Details darüber preisgegeben, wie das Konto kompromittiert wurde, sondern einen Überblick über die Taktiken, Techniken und Verfahren der Lapsus$-Gruppe gegeben, die das Threat Intelligence Center des Unternehmens, bekannt als MSTIC, bei mehreren Angriffen beobachtet hat. Ursprünglich zielten diese Angriffe auf Unternehmen in Südamerika und Großbritannien ab, obwohl Lapsus$ inzwischen auf globale Ziele ausgeweitet wurde, darunter Regierungen und Unternehmen in den Bereichen Technologie, Telekommunikation, Medien, Einzelhandel und Gesundheitswesen.

Die Gruppe, die der Technologieriese als DEV-0537 verfolgt, arbeitet mit einem „reinen Erpressungs- und Zerstörungsmodell“ und scheint im Gegensatz zu anderen Hackergruppen „seine Spuren nicht zu verwischen“, so Microsoft, wahrscheinlich eine Anspielung darauf die öffentliche Rekrutierung von Unternehmensinsidern durch die Gruppe, um ihr bei der Durchführung ihrer gezielten Angriffe zu helfen. Die Gruppe verwendet eine Reihe von Methoden, um sich Zugang zu einem Unternehmen zu verschaffen, die sich in der Regel auf die Kompromittierung von Benutzeridentitäten und -konten konzentrieren. Neben der Rekrutierung von Mitarbeitern in bestimmten Organisationen gehören dazu der Kauf von Anmeldeinformationen aus dark web Foren und das Durchsuchen öffentlicher Repositories nach exponierten Daten Anmeldeinformationen und die Bereitstellung des Redline-Kennwortdiebstahls.

Lapsus$ verwendet dann kompromittierte Anmeldeinformationen, um auf ein Ziel zuzugreifen. mit dem Internet verbundene Geräte und Systeme des Unternehmens, wie virtuelle private Netzwerke, Remote-Desktop-Infrastruktur , oder Identitätsverwaltungsdienste wie Okta, das die Hackergruppe im Januar erfolgreich verletzt. Microsoft sagt, dass Lapsus$ bei mindestens einer Kompromittierung eine SIM-Swap-Angriff, um die Kontrolle über die Telefonnummer und Textnachrichten eines Mitarbeiters zu erlangen, um Zugriff auf Multi-Factor Authentication (MFA)-Codes, die für die Anmeldung bei einer Organisation erforderlich sind.

Nachdem Lapsus Zugriff auf das Netzwerk erhalten hat, verwendet es öffentlich verfügbare Tools, um die Benutzerkonten einer Organisation zu durchsuchen, um Mitarbeiter mit höheren Privilegien oder breiterem Zugriff zu finden, und zielt dann auf Entwicklungs- und Kollaborationsplattformen wie Jira, Slack und Microsoft Teams ab, wo weiter Ausweise werden gestohlen. Die Hacking-Gruppe verwendet diese Anmeldeinformationen auch, um Zugriff auf Quellcode-Repositories auf GitLab, GitHub und Azure DevOps, wie es beim Angriff auf Microsoft der Fall war.

„In einigen Fällen hat DEV-0537 sogar den Helpdesk der Organisation angerufen und versucht, das Support-Personal davon zu überzeugen, die Anmeldeinformationen eines privilegierten Kontos zurückzusetzen“, fügte Microsoft hinzu. „Die Gruppe nutzte die zuvor gesammelten Informationen (z. B. Profilbilder) und ließ einen englischsprachigen Anrufer mit dem Helpdesk-Personal sprechen, um ihre Social-Engineering-Köder zu verstärken.“

Die Lapsus$-Bande richtete eine dedizierte Infrastruktur bei bekannten Anbietern virtueller privater Server (VPS) ein und nutzt den virtuellen privaten Netzwerkdienst NordVPN für Verbraucher, um Daten zu exfiltrieren – sogar mit lokalisierten VPN-Servern, die sich geografisch in der Nähe ihrer Ziele befanden, um das Auslösen von Netzwerkerkennungstools zu vermeiden. Gestohlene Daten werden dann für zukünftige Erpressungen verwendet oder öffentlich zugänglich gemacht.

Die Hacking-Gruppe Lapsus$ hat sich in den letzten Wochen einen Namen gemacht und eine Reihe prominenter Unternehmen kompromittiert, darunter Nvidia und Samsung. Anfang dieser Woche wurde sein jüngstes Opfer als Okta geoutet, nachdem die Bande Screenshots der internen Systeme des Identitätsgiganten veröffentlicht hatte. Okta bestätigte den Verstoß, der das Ergebnis der Kompromittierung eines Drittels durch Lapsus$ war -Party-Kundenbetreuer und sagte, dass etwa 2,5 % seiner 15.000 Kunden davon betroffen seien.

Es ist derzeit unklar, warum Okta seine Kunden bis jetzt nicht über die Kompromittierung informiert hat, die während eines fünftägigen Fensters im Januar aufgetreten ist.

 


Quelle: Techcrunch

Das könnte dir auch gefallen

More Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Please enter a valid email address.