İki İngiliz genç, kötü şöhretli LAPSUS$ ulusötesi çetesinin bir parçası oldukları ve büyük teknoloji firmalarına karşı bir dizi arsız, yüksek profilli hack organize ettikleri ve çalınan bilgilerin sızdırılmaması karşılığında fidye talep ettikleri için Londra’daki bir jüri tarafından mahkum edildi.
Bunlar arasında Oxford’dan 18 yaşındaki Arion Kurtaj (diğer adıyla White, Breachbase, WhiteDoxbin ve TeaPotUberHacker) ve BBC ile internette tanıştıktan sonra Temmuz 2021’de işbirliği yapmaya başlayan adı açıklanmayan bir çocuk da var. rapor edildi Bu hafta.
Her iki sanık da ilk olarak Ocak 2022’de tutuklanıp soruşturma kapsamında serbest bırakıldı, ancak Nisan 2022’de yeniden tutuklanıp Londra Şehri Polisi tarafından suçlandı. Kurtaj daha sonra kefaletle serbest bırakıldı ve bir polis operasyonunda kişisel bilgilerinin alınmasının ardından Bicester’da bir otele taşındı. çevrimiçi siber suç forumu.
Ancak Uber gibi şirketleri hedef alarak bilgisayar korsanlığı çılgınlığına devam etti. isyanve Rockstar Games, bunun sonucunda Eylül ayında tekrar tutuklandı. Grubun bir başka üyesi olduğu iddia edilen kişi ise Ekim 2022’de Brezilyalı yetkililer tarafından tutuklandı.
Gasp planlarını gerçekleştirmenin temelinde, kapsamlı bir sosyal mühendislik aşamasından sonra kurumsal ağlara izinsiz erişim elde etmek için SIM değiştirme ve hızlı bombalama saldırıları gerçekleştirme yetenekleri vardı.
mali motivasyonlu operasyon ayrıca kuruluşlara Sanal Özel Ağ (VPN), Sanal Masaüstü Altyapısı (VDI) veya Citrix kimlik bilgileri sağlayabilecek sahtekar içeriden kişileri istemek için Telegram kanallarına mesaj göndermeyi de gerektiriyordu.
A son rapor ABD hükümetinden yapılan bir araştırmada, aktörlerin SIM takas saldırılarını gerçekleştirmek amacıyla telekomünikasyon sağlayıcılarına erişim için haftada 20.000 dolara kadar teklifte bulundukları ortaya çıktı. LAPSUS$’ı “etkililiği, hızı, yaratıcılığı ve cesareti” ve “etkili tekniklerin başucu kitabını” silah haline getirmesi açısından benzersiz olarak nitelendirdi.
İç Güvenlik Bakanlığı’nın (DHS) Siber Güvenlik İnceleme Kurulu (CSRB), “Sahte SIM takaslarını gerçekleştirmek için LAPSUS$, kurbanları hakkında adları, telefon numaraları ve müşterinin özel ağ bilgileri (CPNI) gibi temel bilgileri elde etti” dedi. söz konusu.
“LAPSUS$, bilgileri yayınlamak da dahil olmak üzere çeşitli yollardan öğrendi hileli [Emergency Disclosure Requests]ve telekomünikasyon sağlayıcısı çalışanlarının ve yüklenicilerinin hesaplarını ele geçirmek için hesap ele geçirme tekniklerini kullanmak.”
“Daha sonra telekomünikasyon sağlayıcısının müşteri yönetimi araçları aracılığıyla sahte SIM takasları gerçekleştirdi. Sahte SIM takaslarını gerçekleştirdikten sonra LAPSUS$, SMS veya sesli aramalar yoluyla tek seferlik bağlantılar veya MFA şifreleri gönderen oturum açma ve hesap kurtarma iş akışları aracılığıyla çevrimiçi hesapları ele geçirdi. “
Diğer ilk erişim yöntemleri, ilk erişim aracılarının (IAB’ler) hizmetlerinin kullanılmasından güvenlik açıklarının istismar edilmesine kadar uzanıyordu; bunu takiben aktörler ayrıcalıkları artırmak, ağ üzerinde yanal olarak hareket etmek, uzak masaüstü yazılımı aracılığıyla kalıcı erişim kurmak için adımlar attılar. AnyDesk ve TeamViewer’ı açın ve güvenlik izleme araçlarını devre dışı bırakın.
LAPSUS$’ın sızdığı firmalar arasında BT, EE, Globant, LG, Microsoft, NVIDIA, Okta, Samsung, Ubisoft ve Vodafone yer alıyor. Şu anda ihlal edilen şirketlerden herhangi birinin fidye ödeyip ödemediği belli değil. Gençlerin ileriki bir tarihte cezalandırılması bekleniyor.
“Grup, son derece etkili sosyal mühendislik kullanarak iyi savunulan kuruluşlara başarılı bir şekilde saldırdığı, iş süreci dış kaynak kullanımı (BPO’lar) ve telekomünikasyon sağlayıcılarından ödün vererek tedarik zincirlerini hedef aldığı ve operasyonlarını, hedeflerini ve başarılarını tartışmak için halka açık Telegram kanalını kullandığı için ün kazandı. ve hatta hedefleriyle iletişim kurmak ve onları şantaj yapmak için” dedi CSRB.