Microsoft Salı günü, kimlik doğrulama hizmetleri sağlayıcısı Okta’nın müşterilerinin yaklaşık %2,5’inin ihlalin ardından potansiyel olarak etkilendiğini açıklamasıyla, LAPSUS$ gasp odaklı bilgisayar korsanlığı ekibinin sistemlerine “sınırlı erişim” kazandığını doğruladı.
Microsoft’un Tehdit İstihbarat Merkezi (MSTIC), “Gözlenen etkinliklere hiçbir müşteri kodu veya veri dahil edilmedi” diyerek, ihlalin, daha sonra kötü amaçlı etkinlikleri önlemek için düzeltilen, güvenliği ihlal edilmiş tek bir hesap aracılığıyla kolaylaştırıldığını da sözlerine ekledi.
Grubu kamuya açıklamadan önce DEV-0537 takma adı altında zaten takip eden Windows üreticisi, dedim “Güvenlik önlemi olarak kodun gizliliğine güvenmez ve kaynak kodun görüntülenmesi risk artışına yol açmaz.”
Şirketin güvenlik ekipleri, “Bu kamuya açıklama, eylemimizi hızlandırdı ve ekibimizin operasyon sırasında aktöre müdahale etmesine ve müdahale etmesine izin vererek daha geniş etkiyi sınırladı.”
Kimlik ve erişim yönetimi şirketi Okta, aynı zamanda ihlali kabul etti üçüncü taraf bir sağlayıcı için çalışan bir müşteri destek mühendisinin hesabı aracılığıyla, saldırganların 16 ile 21 Ocak arasındaki beş günlük bir süre boyunca mühendisin dizüstü bilgisayarına erişimi olduğunu, ancak hizmetin kendisinin güvenliğinin ihlal edilmediğini söyledi.
San Francisco merkezli bulut yazılım firması da, etkilenen müşterileri tespit ettiğini ve onlarla doğrudan iletişime geçtiğini belirterek, “Okta hizmetinin tamamen çalışır durumda olduğunu ve müşterilerimizin yapması gereken herhangi bir düzeltici önlemin olmadığını” vurguladı.
Web altyapı şirketi Cloudflare, “Okta uzlaşması durumunda, yalnızca bir kullanıcının şifresini değiştirmek yeterli olmaz” dedim olayın otopsi analizinde. “Saldırganın aynı kullanıcı için yapılandırılmış donanım (FIDO) belirtecini de değiştirmesi gerekecek. Sonuç olarak, ilişkili donanım anahtarlarına dayalı olarak güvenliği ihlal edilmiş hesapları tespit etmek kolay olacaktır.”
Bununla birlikte, özellikle endişe verici olan, Okta’nın ihlali iki ay boyunca kamuya açıklamaması ve siber suç grubunun “Neden bu kadar uzun süre bekleyelim?” karşı beyanında.
LAPSUS$, çürütmesinde Okta’nın Amazon Web Hizmetleri (AWS) anahtarlarını Slack içinde sakladığını ve destek mühendislerinin iletişim platformuna “aşırı erişime” sahip gibi göründüğünü de iddia etti. Ekip, “Okta müşterileri üzerindeki potansiyel etki sınırlı DEĞİLDİR, parolaları ve MFA’yı sıfırlamanın birçok müşterinin sisteminin tamamen tehlikeye girmesiyle sonuçlanacağından oldukça eminim,” diye detaylandırdı çete.
Microsoft, LAPSUS$ Taktiklerini Açıklıyor
İlk olarak Temmuz 2021’de ortaya çıkan LAPSUS$, son aylarda bir bilgisayar korsanlığı çılgınlığı yaşıyor ve aradan geçen dönemde Impresa, Brezilya Sağlık Bakanlığı, Claro, Embratel, NVIDIA, Samsung, Mercado Libre, Vodafone dahil olmak üzere çok sayıda şirketi hedef alıyor. ve en son Ubisoft.
Finansal olarak motive olmuş grubun çalışma şekli nispeten basitti: bir hedefin ağına girmek, hassas verileri çalmak ve çalınan verilerin parçalarını Telegram kanallarında yayınlayarak kurban şirkete ödeme yapması için şantaj yapmak.
Microsoft, LAPSUS$’ı “fidye yazılımı yüklerini dağıtmayan saf gasp ve imha modelini” izleyen ve “izlerini kapatmıyor gibi görünen” bir grup olarak tanımladı.
Mürettebat tarafından benimsenen diğer taktikler arasında, hesap devralmayı kolaylaştırmak için SIM takası, hedef kuruluşlardaki çalışanların kişisel e-posta hesaplarına erişim, erişim için çalışanların, tedarikçilerin veya şirketlerin iş ortaklarının rüşvet verilmesi ve izinsiz giriş gibi telefon tabanlı sosyal mühendislik şemaları yer alıyor. şantaj taleplerini başlatmak için hedeflerinin devam eden kriz müdahale çağrıları.
LAPSUS$’ın da konuşlandırıldığı gözlemlendi. Kırmızı Hat Hırsızı Bu, karanlık web pazarlarından kimlik bilgileri ve erişim belirteçleri satın almanın yanı sıra, ilk bir dayanak elde etmek için açıklanmış kimlik bilgileri için halka açık kod depolarını aramanın yanı sıra parolalar ve oturum belirteçleri elde etmek için yeraltı forumlarında satışa sunulmuştur.
Şirket, “DEV-0537 aktörlerinin amacı, veri hırsızlığına ve hedeflenen bir kuruluşa yönelik yıkıcı saldırılara olanak tanıyan çalıntı kimlik bilgileri aracılığıyla yüksek erişim elde etmektir, bu da genellikle gasp ile sonuçlanır” dedi. “Taktikler ve hedefler, bunun hırsızlık ve yıkımla motive edilen bir siber suçlu aktör olduğunu gösteriyor.”
İlk erişimin ardından grubun, ilgili bilgileri sızdırmaya ve hedefin sistemlerini ve kaynaklarını silmeye devam etmeden önce, ayrıcalık yükseltme için dahili olarak erişilebilir Confluence, JIRA ve GitLab sunucularındaki yama uygulanmamış güvenlik açıklarından yararlandığı bilinmektedir.
Bu tür olayları azaltmak için Microsoft, kuruluşlara çok faktörlü kimlik doğrulamayı zorunlu kılmalarını (ancak SMS tabanlı değil), OAuth veya SAML gibi modern kimlik doğrulama seçeneklerinden yararlanmalarını, bireysel oturum açma işlemlerini anormal etkinlik belirtileri için incelemelerini ve olay yanıt iletişimlerini izlemelerini tavsiye ediyor. yetkisiz katılımcılar
“Gözlenen faaliyetlere dayanarak, bu grup, modern teknoloji ekosistemlerindeki kimliklerin ve güven ilişkilerinin birbirine bağlı doğasını anlıyor ve ortak veya tedarikçi kuruluşlara erişmek için tek bir kuruluştan erişimlerinden yararlanmak için telekomünikasyon, teknoloji, BT hizmetleri ve destek şirketlerini hedefliyor.”
Sızıntılardan kaynaklanan serpinti arasında LAPSUS$ bir ara veriyor gibi görünüyor. “Birkaç üyemiz [sic] 30/3/2022 tarihine kadar tatil. Bazı zamanlar sessiz olabiliriz [sic],” grup, Telegram kanalında söyledi.