Şöhret istiyorlarsa, işte buradalar. Geçen yıl neredeyse hiç tanınmayan Lapsus$ grubu, 2022’de önde gelen birkaç teknoloji şirketinin hacklenmesinin sorumluluğunu üstlenerek öne çıktı. Bu ani şöhret, birkaç uzman şirketi, yöntemleri neredeyse iki yıldır faturanın başında olan fidye yazılımı gruplarının alışkanlıklarıyla çelişen bu grubun geçmişi ve işleyişi hakkında profiller yayınlamaya teşvik etti.
Göze çarpan ilk adımlar
Lapsus$ grubunun ilk silah başarıları Aralık 2021’e kadar uzanıyor. Fransız şirketi Sekoia’nın analizine göre. Grubun ilk kurbanları Güney Amerika’da bulunuyor: grup bu nedenle Telegram kanalında Aralık 2021’in başında Brezilya Sağlık Bakanlığı’nı hedef alan bir saldırı olduğunu iddia etti. Grubun şu anda iddia ettiği diğer saldırılar ağırlıklı olarak şu anda yoğunlaşıyor. Portekiz’de ve çeşitli Güney Amerika ülkelerinde yerleşik özel kuruluşlar, televizyon şirketleri ve kuruluşlar dahil olmak üzere Portekizce konuşulan bölge. Grubun ilk iddiaları da Portekizce ve İngilizce olarak yazılmıştır, grup daha sonra hedefleri daha uluslararası hale geldiğinden İngilizce’yi seçmiştir. Ancak Sekoia’nın belirttiği gibi: “Grubun Portekizce iletişim kurmak için makine çevirisi araçlarını kullandığına dair göstergeler var. »
Grup üyeleri, Lapsus$ adı altında saldırıları üstlenmeden önce, Sekoia’nın analizlerinin de belirttiği gibi, 2021 yılı boyunca yine de başka hack’lere karışmış görünüyor. Grubun, en az Mayıs 2021’den bu yana birden fazla siber suç forumunda aktif olan ‘4c3’ adlı bir tehdit aktörüyle bağlantısı var gibi görünüyor.” 4c3 grubunun silah başarıları arasında, Haziran 2021’de Electronic Arts şirketinin hacklenmesini ve birkaç gigabayt dahili verinin yayılmasına yol açmasını özellikle belirtebiliriz.
Forumlarda yayınlanan ve saldırının sorumluluğunu üstlenen birkaç mesajda, 4v3 hesabı grubun yeni adının bundan böyle Lapsus$ olacağını belirtti. Bu ilk bağlantıya ek olarak Sekoia, Mayıs 2021’de EA’yı gasp etmek için kullanılan bir kripto para cüzdanının adresinin daha sonra Lapsus$ grubu tarafından iddia edilen birkaç gasp vakasında yeniden kullanıldığını belirtiyor.
Ufukta fidye yazılımı yok
Birçok siber suçlu grubunun aksine, Lapsus$ grubu, hedef verileri şifreleyen ve bilgi sistemini felç eden fidye yazılımlarının, kötü amaçlı yazılımların hayranı değildir. Bazı durumlarda grup bu tür bir aracı kullanmış olsa da, faaliyetlerinin çoğu şantaj amacıyla veri hırsızlığına odaklanmaktadır. Amaç, verilerin Telegram kanallarında yayınlanmasını önlemek için kurbanları kandırarak ödeme yapmaktır. Bugün 43.000’den biraz fazla abonesi olan bu Telegram kanalı, Tor ağındaki olağan gizli siteler yerine bu iletişim aracını kullanmayı tercih eden Lapsus$’ın özel unsurlarından biridir.
Grup, bu Telegram kanalını, örneğin grup tarafından hangi verilerin öncelikli olarak dağıtılacağına karar vermek için oy vermelerini isteyerek, topluluğuyla doğrudan etkileşim kurmak için kullanır. Grup tarafından oluşturulan bir diğer Telegram kanalı da çevrimiçi olarak kötü niyetli faaliyetlerde bulunmak isteyen kişiler için değişim ve işe alım için bir alan olarak hizmet ediyor.
Bir blog yazısında, Microsoft güvenlik ekipleri, Lapsus$ tarafından saldırılarında kullanılan yöntemlerin profilini çıkardı. Grup, hedeflerinin ilk makinelerini tehlikeye atmayı başarmak için çeşitli tekniklere başvurdu: Microsoft, Redline kötü amaçlı yazılımının bir çalışanın parolalarını ve oturum tanımlama bilgilerini çalmak için kullanıldığını, bu sözcüklerin parolaları ve diğer siber suçlu aktörlerden oturum tanımlama bilgilerini satın aldığını belirtiyor. (özellikle 2021’de EA’ya saldırmak için kullanılan bir taktik), kurban şirket içindeki çalışanların yolsuzluğu veya sim tekniklerinin değiştirilmesi.
Vizördeki bulut
Bu ilk erişim elde edildikten sonra, Lapsus$ grubunun üyeleri, yama uygulanmamış güvenlik açıklarından yararlanarak veya serbest aslarda bırakılan tanımlayıcıları ele geçirerek kurbanın ağına erişimlerini derinleştirmeye çalışırlar. Bu aşamada, grup üyelerinin operasyonları için çoğunlukla İnternette ücretsiz olarak bulunan araçları kullandıklarını belirtmek ilginçtir (Microsoft, AD Explorer aracının ve Mimikatz’ın kullanımına atıfta bulunur). Grubun, erişim sağlamak için şirketin BT destek hizmetlerinin bir çalışanı gibi davranmak gibi sosyal mühendislik tekniklerini kullandığı biliniyor.
Grup ayrıca, ister Azure ister AWS’de olsun, genel buluttaki şirket kaynaklarına izinleri olan hesapları hedefliyor. Başarılı olursa, Microsoft, grubun bu erişimi hem çalınan verileri kendi altyapılarına sızdırmak için hem de Office365 aracılığıyla alınan ve gönderilen tüm e-postaları Lapsus$ tarafından kontrol edilen bir hesaba yeniden yönlendiren bir kural oluşturmak için kullandığını belirtir. Tüm bunlar, gemide yalnız kalmak için şirketin diğer bulut yöneticisi hesaplarını silerken. Grup, veriler sızdırıldıktan sonra, genellikle şirket içindeki olay müdahale süreçlerini tetikleyen (grup mümkün olduğunda dinlemekten çekinmediği) verilerin silinmesine ve sistemlerin sıfırlanmasına yönelik eylemler de gerçekleştirir.
ilgi odağı
Grup araştırmacıların ilgisini çekiyorsa, bunun nedeni hem karmaşık düzeyde hackleme hem de en kötü çaylak hatalarını yapabilmesidir. Böylece Sekoia, grubun üyeleri hakkında ipuçları ortaya çıkarmasına neden olan birçok duruma dikkat çekiyor: Saldırı iddiasında bulunan ekran görüntülerinde bırakılan hesap adları, farklı saldırılarda yeniden kullanılan IP adresleri, belirli kripto para cüzdanlarının yeniden kullanımı ve hatta bazı üyelerin bilgileri ifşa etmesine neden olan iç çatışmalar. grubun diğer üyelerinin kimliği hakkında. Grup, fidye yazılımı konusunda uzmanlaşmış oyuncular arasında nadiren görülen belirli bir amatörlüğü ortaya koyuyor. “En köklü fidye yazılımı grupları, yerleşik bir iş modeline sahip bir çalışma tarzı izliyor. Lapsus$ daha çok, hedeflere fırsatçı bir bakış açısıyla bakan ve belirli bir hedefe dayalı olarak gelişen para kazanma yaklaşımlarıyla yetenekli saldırgan güvenlik uzmanlarından oluşan bir ekipten oluşan bir girişim gibi” dedi. Cybereason güvenlik stratejisi direktörü Ken Westin şunları söyledi:.
Dolayısıyla grubun ekonomik modeli şantaj üzerine kurulu, ancak Lapsus$ tarafından gerçekleştirilen son saldırıların fidye taleplerine yol açtığına dair hiçbir kanıt yok. “Davranışlarının analizi, insanları grup hakkında konuşmaya teşvik etme arzusunu ortaya koyuyor, böylece şan ve tanınma arayışındaki bireylerin profilini çiziyor” diye yazıyor Sekoia analistleri, grubu başkalarıyla karşılaştırmaktan çekinmeyenler. Lulzsec, 2011’de aktif olan ve esas olarak şöhret tarafından yönlendirilen bir grup siber suçlu. “Herkese açık kişiliklerine dayanarak, herkesin bu erişimleri bilmesini sağlamaktan hoşlanıyor gibi görünüyorlar. Mandiant Kıdemli Baş Analisti Joshua Shilko, “Biraz benzersiz olan spot ışığı takdir ediyorlar” dedi.
Telegram hesaplarında yayınladıkları son mesajda grup, Mart ayı sonuna kadar “tatil yapma” niyetini duyuruyor ve bu nedenle önümüzdeki günlerde etkinliğinin azalacağını belirtiyor. İlgi odağı olduktan sonra yeşile dönmenin bir yolu.
