Microsoft a confirmé mardi que l’équipe de piratage axée sur l’extorsion de dollars LAPSUS avait obtenu un « accès limité » à ses systèmes, car le fournisseur de services d’authentification Okta a révélé que près de 2,5 % de ses clients ont été potentiellement touchés à la suite de la violation.
« Aucun code ou donnée client n’a été impliqué dans les activités observées », a déclaré le Threat Intelligence Center (MSTIC) de Microsoft, ajoutant que la violation avait été facilitée au moyen d’un seul compte compromis qui a depuis été corrigé pour empêcher de nouvelles activités malveillantes.
Le fabricant de Windows, qui suivait déjà le groupe sous le nom de DEV-0537 avant la divulgation publique, mentionné il « ne repose pas sur le secret du code comme mesure de sécurité et la visualisation du code source n’entraîne pas d’élévation du risque ».
« Cette divulgation publique a intensifié notre action, permettant à notre équipe d’intervenir et d’interrompre l’acteur en cours d’opération, limitant ainsi un impact plus large », ont noté les équipes de sécurité de l’entreprise.
La société de gestion des identités et des accès Okta, qui a reconnu la violation via le compte d’un ingénieur du support client travaillant pour un fournisseur tiers, a déclaré que les attaquants avaient accès à l’ordinateur portable de l’ingénieur pendant une fenêtre de cinq jours entre le 16 et le 21 janvier, mais que le service lui-même n’était pas compromis.
La société de logiciels cloud basée à San Francisco a également déclaré qu’elle avait identifié les clients concernés et qu’elle les contactait directement, soulignant que « le service Okta est pleinement opérationnel et qu’il n’y a aucune action corrective que nos clients doivent prendre ».
« Dans le cas de la compromission d’Okta, il ne suffirait pas de simplement changer le mot de passe d’un utilisateur », a déclaré la société d’infrastructure Web Cloudflare. mentionné dans une analyse post mortem de l’incident. « L’attaquant aurait également besoin de changer le jeton matériel (FIDO) configuré pour le même utilisateur. En conséquence, il serait facile de repérer les comptes compromis en fonction des clés matérielles associées. »
Cela dit, le fait qu’Okta n’a pas divulgué publiquement la violation pendant deux mois est particulièrement préoccupant, ce qui a incité le groupe de cybercriminels à demander « Pourquoi attendre si longtemps? » dans sa contre-déclaration.
LAPSUS$ a également affirmé dans sa réfutation qu’Okta stockait les clés Amazon Web Services (AWS) dans Slack et que les ingénieurs de support semblaient avoir un « accès excessif » à la plate-forme de communication. « L’impact potentiel sur les clients d’Okta n’est PAS limité, je suis presque certain que la réinitialisation des mots de passe et de l’authentification MFA entraînerait une compromission complète des systèmes de nombreux clients », a expliqué le gang.
Microsoft expose les tactiques de LAPSUS$
LAPSUS$, qui est apparu pour la première fois en juillet 2021, a connu une vague de piratage ces derniers mois, ciblant une multitude d’entreprises au cours de la période intermédiaire, notamment Impresa, le ministère brésilien de la Santé, Claro, Embratel, NVIDIA, Samsung, Mercado Libre, Vodafone , et plus récemment Ubisoft.
Le modus operandi du groupe à motivation financière a été relativement simple : s’introduire dans le réseau d’une cible, voler des données sensibles et faire chanter l’entreprise victime pour qu’elle paie en publiant des extraits des données volées sur sa chaîne Telegram.
Microsoft a décrit LAPSUS$ comme un groupe suivant un « modèle pur d’extorsion et de destruction sans déploiement de charges utiles de ransomware » et qui « ne semble pas couvrir ses traces ».
D’autres tactiques adoptées par l’équipage comprennent des systèmes d’ingénierie sociale basés sur le téléphone tels que l’échange de cartes SIM pour faciliter la prise de contrôle de compte, l’accès aux comptes de messagerie personnels des employés des organisations cibles, la corruption d’employés, de fournisseurs ou de partenaires commerciaux d’entreprises pour l’accès et l’intrusion dans le appels continus en réponse à la crise de leurs cibles pour lancer des demandes d’extorsion.
LAPSUS$ a également été observé en train de déployer le Voleur RedLine qui est disponible à la vente sur des forums clandestins pour obtenir des mots de passe et des jetons de session, en plus d’acheter des informations d’identification et des jetons d’accès sur les marchés du dark web, ainsi que de rechercher des référentiels de codes publics pour les informations d’identification exposées, afin de prendre pied.
« L’objectif des acteurs DEV-0537 est d’obtenir un accès élevé grâce à des informations d’identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée, entraînant souvent une extorsion », a déclaré la société. « Les tactiques et les objectifs indiquent qu’il s’agit d’un acteur cybercriminel motivé par le vol et la destruction. »
Après l’accès initial, le groupe est connu pour exploiter les vulnérabilités non corrigées sur les serveurs Confluence, JIRA et GitLab accessibles en interne pour l’élévation des privilèges, avant de procéder à l’exfiltration des informations pertinentes et à la suppression des systèmes et des ressources de la cible.
Pour atténuer ces incidents, Microsoft recommande aux organisations d’imposer une authentification multifacteur (mais pas basée sur SMS), de tirer parti des options d’authentification modernes telles que OAuth ou SAML, d’examiner les connexions individuelles pour détecter des signes d’activité anormale et de surveiller les communications de réponse aux incidents pour participants non autorisés.
« Sur la base de l’activité observée, ce groupe comprend la nature interconnectée des identités et des relations de confiance dans les écosystèmes technologiques modernes et cible les télécommunications, la technologie, les services informatiques et les sociétés de support – pour tirer parti de leur accès à partir d’une organisation pour accéder aux organisations partenaires ou fournisseurs. »
Au milieu des retombées des fuites, LAPSUS $ semble faire une pause. « Certains de nos membres ont [sic] des vacances jusqu’au 30/3/2022. Nous pourrions être silencieux pendant quelques temps [sic] », a déclaré le groupe sur sa chaîne Telegram.