Pazar sabahı, Lapsus$ grubu Telegram kanalındaki bir gönderiyle Microsoft’un bilgisayar sistemine girmeyi başardığını duyurdu. Kanıt, yayıncının Azure DevOps platformu dahili araçlarından birinin ekran görüntüsünü yayınladı.
Microsoft Pazartesi günü tepki gösterdi bilgilendirildiklerini ve iç soruşturma açtıklarını belirten.
Ancak Lapsus$ grubundan siber suçlular, Microsoft’tan çaldıklarını iddia ettikleri 37 GB’lık veriyi içeren bir arşivi Pazartesi akşamı yayınlamak için soruşturmanın sonuçlarını beklemediler.
Bing kaynak kodu sızdırıldı
Birkaç güvenlik araştırmacısına göre, söz konusu arşiv Bing, Bing Maps ve Cortana uygulamalarının birkaç kaynak kod parçacığını içeriyor. Lapsus$, yayınlanan kaynak kodunun tam olmadığını gösteriyor: grup yetkilileri, Bing arama motoru için kaynak kodunun %90’ını ve Cortana ve Bing Haritalar için %45’ini aldıklarını tahmin ediyor.
Arşiv, bu öğelere ek olarak, geliştiriciler arasında belgeler ve dahili alışverişler de dahil olmak üzere 250’den fazla dahili Microsoft projesiyle ilgili dosyaları da içerir.
Yayınlanan dosyaları analiz eden birkaç araştırmacı, bu verilerin Microsoft’tan geldiğine inanıyor.
Lapsus$, BT dünyasını hedefliyor
Lapsus$, geçen yılın sonunda ortaya çıkan veri hırsızlığı konusunda uzmanlaşmış bir siber suçlu grubudur. Grup, başlangıçta oldukça çeşitli hedeflere saldırarak öne çıksa da, yılın başından beri bir vites yükselterek, bilgi işlem dünyasının büyük oyuncularına yönelik veri hırsızlığı duyurularını çoğaltıyor.
Lapsus$ tarafından talep edilen kurbanlar arasında özellikle Nvidia, Samsung, Ubisoft veya daha yakın zamanda Okta’yı buluyoruz.
İşletmeleri hedef alan fidye yazılımı gruplarının aksine, Lapsus$ grubu, sistemleri kapatmadan veri hırsızlığına odaklanır. Grup daha sonra çalınan verilerin Telegram kanallarında yayınlanmasını önlemek için kurbanlarından fidye talep ediyor. Lapsus$, veri hırsızlığına ilişkin yankı uyandıran duyurularının yanı sıra, bazen grubun belirli hatalarını ortaya çıkaran, özellikle gösterişli bir iletişim ile üç aydır kendisini farklı kılıyor.
Lapsus$’ın saldırılarının işleyiş biçimi bilinmiyor, ancak bazıları onun iç sistemlere erişmek için yozlaşmış çalışanları kullandığından şüpheleniyor. Okta saldırısının son duyurusu bir başka ipucu: Okta, kurumsal kimlik doğrulama ve kimlik yönetiminde önemli bir oyuncu ve Lapsus$ grubu bu saldırı yoluyla elde edilen erişimden diğer kurbanlara sızmak için yararlanabilirdi. Ancak Microsoft söz konusu olduğunda, bu çok güvenilir görünmüyor.