Microsoft’un sahip olduğu onaylanmış LAPSUS$ korsan çetesinin, sınırlı erişime sahip bir Microsoft hesabını tehlikeye atabildiğini söyledi. Ancak şirket, kaynak kod hırsızlığı konusunda iletişim kurmadı.
Microsoft, “Gözlemlenen etkinliklere hiçbir kod veya müşteri verisi dahil edilmedi. Araştırmamız, yalnızca bir hesabın güvenliğinin ihlal edildiğini ve sınırlı erişim sağladığını ortaya çıkardı. Siber güvenlik müdahale ekiplerimiz hesabı düzeltmek için hızla devreye girdi. Uzlaşma ve daha fazla etkinliğin önlenmesi” dedi.
Şirket ayrıca, “Microsoft, bir güvenlik önlemi olarak kod gizliliğine güvenmiyor ve kaynak kodunun görüntülenmesi risk artışına yol açmıyor” diye açıklıyor.
Çok sayıda saldırı tekniği
“Ekibimiz, aktör izinsiz girişini herkese açık bir şekilde ifşa ettiğinde, güvenliği ihlal edilmiş hesabı zaten araştırıyordu. Bu kamuya açıklama, eylemimizi yoğunlaştırdı, ekibimizin müdahale etmesine ve aktörün operasyonunun ortasında aktörün sözünü kesmesine ve böylece daha geniş etkiyi sınırlandırmasına izin verdi.”
Salı günü LAPSUS$, Bing, Bing Haritalar ve Cortona için kaynak kodu içerdiğini iddia eden bir torrent dosyası yayınladı. Grup, “Bing haritaları %90 çöp. Bing ve Cortana yaklaşık %45 çöp” dedi.
Grubun tekniklerini listeleyen bir blog gönderisinde Microsoft tarafından uzlaşmanın onaylanmasından bahsedildi.
“Taktikleri, telefon üzerinden sosyal mühendisliği içerir: Hesap devralmayı kolaylaştırmak için SIM takası (SIM takasıyla ilgili podcast’imizi dinleyin), hedef kuruluşların çalışanlarının kişisel e-posta hesaplarına erişim, hedef kuruluşların çalışanlarının, satıcıların veya iş ortaklarının ödemelerinin ödenmesi Microsoft, kimlik bilgileri erişimi ve çok faktörlü kimlik doğrulama onayı ve hedeflerinin devam eden kriz iletişim çağrılarına izinsiz giriş için” dedi.
Microsoft tarafından DEV-0537 adlı LAPSUS$
“Taktikler ve hedefler, bunun hırsızlık ve yıkımla motive edilen bir siber suçlu aktör olduğunu gösteriyor.”
Microsoft tarafından DEV-0537 olarak adlandırılan grubun ayrıcalıkları yükseltmek için Confluence, JIRA ve GitLab’daki güvenlik açıklarını kullandığı, parolaları sıfırlamak için yardım masalarını aradığı, Active Directory veritabanlarını çaldığı ve aynı coğrafi bölgedeymiş gibi davranmak için NordVPN kullandığı gözlemlendi. onun hedefleri.
“Bir kuruluşun bulut kiracısına (AWS veya Azure) ayrıcalıklı erişim elde etmede başarılı olursa, DEV-0537 kuruluşun bulut örneklerinde Global Yönetici hesapları oluşturur, Office 365 kiracısında tüm postaları içeri ve dışarı göndermek için bir posta aktarım kuralı ayarlar. Microsoft, organizasyonu yeni oluşturulan hesaba aktarır, ardından diğer tüm Global Yönetici hesaplarını kaldırır, böylece yalnızca aktör bulut kaynakları üzerinde tek kontrole sahip olur ve kuruluşu etkin bir şekilde tüm erişimden kilitler,” dedi Microsoft.
LAPSUS$ olay müdahalesine katılır (lol)
“Sızıntıdan sonra, DEV-0537 genellikle hedefin sistemlerini ve kaynaklarını siler. Kuruluşun olay ve kriz müdahale sürecini tetiklemek için hem şirket içi (ör. VMWare vSphere/ESX) hem de buluttaki kaynakların silindiğini gözlemledik.”
Grup ayrıca kurbanların tepkisini anlamak için dahili mesajlaşma servislerini de kullandı.
Microsoft, “Bunun, DEV-0537’nin kurbanın ruh hali, izinsiz giriş bilgisi hakkında fikir edinmesine ve gasp taleplerini başlatmasına izin verdiğine inanılıyor.” Dedi.
“DEV-0537’nin, yıkıcı eylemlere yanıt vermek için hedeflenen kuruluşlardaki olay müdahale köprülerine katıldığı özellikle gözlemlendi. Bazı durumlarda, DEV-0537, çalınan verilerin ifşasını önlemek için kurbanları zorladı ve diğerlerinde, herhangi bir gasp girişimi olmadı ve DEV-0537 çaldığı verileri kamuya açıkladı.”
Saldırı yağmuru
Son 24 saat içinde LAPSUS$ da Okta’yı vurduğunu iddia etti. Buna karşılık Okta, grubun beş günlük bir süre boyunca bir destek mühendisinin dizüstü bilgisayarına erişimi olduğunu söyledi.
Okta’ya yanıt olarak grup, güvenliği ihlal edilen cihazın ince bir istemci olduğunu ve müşterilerin %95’i için parolayı ve çok faktörlü kimlik doğrulamasını sıfırlayabilecek bir süper kullanıcı portalına erişim kazandıklarını söyledi.
Grup, “Sıfır Güven’i destekleyen bir şirket için, destek mühendislerinin Slack’e aşırı erişimi var mı? 8.6.000 kanal?” dedi.
“Okta müşterileri üzerindeki potansiyel etki sınırlı DEĞİLDİR, parolaları sıfırlamanın ve çok faktörlü kimlik doğrulamanın birçok müşterinin sisteminde tam bir uzlaşmayla sonuçlanacağından oldukça eminim.”
Grup, Okta’dan bir siber güvenlik firması tutmasını istedi. Ayrıca Okta’nın AWS anahtarlarını Slack’te sakladığını iddia etti.
Kaynak: “ZDNet.com”