Bu hafta Nvidia, Samsung ve daha fazlasını hacklediğini iddia ettiği bilinen bilgisayar korsanlığı grubu Lapsus$ Microsoft’u bile hacklediğini iddia etti. Grup, yaklaşık 37 GB veri içeren bir arşivde Bing ve Cortana için kısmi kaynak kodu içerdiğini iddia ettiği bir dosya yayınladı.
Salı akşamı, soruşturmanın ardından, Microsoft onayladı DEV-0537 adını verdiği grup, “tek bir hesabı” tehlikeye attı ve bazı ürünlerinin kaynak kodunun bir kısmını çaldı. A güvenlik sitesindeki blog yazısı Microsoft müfettişlerinin Lapsus$ grubunu haftalardır takip ettiğini ve kurbanların sistemlerini tehlikeye atmak için kullandıkları bazı yöntemleri detaylandırdığını söylüyor. Microsoft Tehdit İstihbarat Merkezi’ne (MSTIC) göre, “DEV-0537 aktörlerinin amacı, veri hırsızlığına ve hedeflenen bir kuruluşa yönelik yıkıcı saldırılara olanak tanıyan çalınan kimlik bilgileri aracılığıyla yüksek erişim elde etmektir, bu da genellikle gasp ile sonuçlanır. Taktikler ve hedefler, bunun hırsızlık ve yıkımla motive olmuş bir siber suçlu aktör olduğunu gösteriyor.”
Microsoft, sızdırılan kodun risk artışına neden olacak kadar ciddi olmadığını ve müdahale ekiplerinin operasyon ortasında bilgisayar korsanlarını kapattığını iddia ediyor.
Lapsus$, iddialarına inanılırsa, son zamanlarda gözyaşı döktü. Grup, Okta, Samsung ve Ubisoft’un yanı sıra Nvidia ve şimdi Microsoft’tan gelen verilere erişimi olduğunu söylüyor. Samsung ve Nvidia gibi şirketler verilerinin çalındığını kabul ederken, Okta grubun kimlik doğrulama hizmetine erişimi olduğu yönündeki iddialarına karşı çıkarak “Okta hizmetinin ihlal edilmediğini ve tam olarak çalışır durumda olduğunu” iddia etti.
Microsoft:
Bu hafta aktör, Microsoft’a erişim kazandıklarını ve kaynak kodun bazı kısımlarını sızdırdıklarını kamuoyuna açıkladı. Gözlenen faaliyetlere hiçbir müşteri kodu veya veri dahil edilmedi. Araştırmamız, sınırlı erişim sağlayan tek bir hesabın güvenliğinin ihlal edildiğini tespit etti. Siber güvenlik müdahale ekiplerimiz, güvenliği ihlal edilen hesabı düzeltmek ve daha fazla etkinliği önlemek için hızla devreye girdi.
Microsoft, bir güvenlik önlemi olarak kodun gizliliğine güvenmez ve kaynak kodun görüntülenmesi risk artışına yol açmaz. Bu izinsiz girişte kullanılan DEV-0537 taktikleri, bu blogda tartışılan taktikleri ve teknikleri yansıtmaktadır. Oyuncu, izinsiz girişlerini herkese açık bir şekilde ifşa ettiğinde, ekibimiz tehdit istihbaratına dayalı olarak güvenliği ihlal edilmiş hesabı zaten araştırıyordu. Bu kamuya açıklama, eylemimizi hızlandırdı ve ekibimizin müdahale etmesine ve operasyonun ortasında aktöre müdahale etmesine izin vererek daha geniş etkiyi sınırladı.
Bu, Microsoft’un saldırganların kaynak koduna erişeceğini varsaydığını iddia ettiği ilk sefer değil – Solarwinds saldırısından sonra da aynı şeyi söyledi. Lapsus$ ayrıca, Bing ve Cortana kodunun yalnızca yüzde 45’ini ve Bing Haritalar kodunun yaklaşık yüzde 90’ını aldığını iddia ediyor. Microsoft, kaynak kodunun güvenlik açıklarını ortaya çıkarmasından endişe etse bile, ikincisi diğer ikisinden daha az değerli bir hedef gibi görünüyor.
Microsoft, blog gönderisinde, çok faktörlü kimlik doğrulamayı zorunlu kılmak, metin mesajları veya ikincil e-posta gibi “zayıf” çok faktörlü kimlik doğrulama yöntemlerini kullanmamak, ekip üyelerini potansiyel sosyal mühendislik saldırıları hakkında eğitmek de dahil olmak üzere, diğer kuruluşların güvenliklerini iyileştirmek için atabilecekleri bir dizi adımı özetliyor. ve Lapsus$ saldırılarına olası yanıtlar için süreçler oluşturma. Microsoft ayrıca, Microsoft müşterileri üzerinde gerçekleştirdiği saldırılara göz kulak olarak Lapsus$’ı takip etmeye devam edeceğini söylüyor.