A Microsoft confirmou que foi violada pelo grupo de hackers Lapsus$.
Em uma postagem de blog na terça-feira — publicada horas depois que Lapsus$ postou um arquivo torrent contendo código-fonte parcial do Bing, Bing Maps e Cortana — a Microsoft revelou que a conta de um único funcionário foi comprometida pelo grupo de hackers, concedendo aos invasores “ acesso limitado” aos sistemas da Microsoft e permitindo o roubo do código-fonte da empresa.
A Microsoft acrescentou que nenhum código ou dado do cliente foi comprometido.
“Nossas equipes de resposta à segurança cibernética rapidamente se envolveram para remediar a conta comprometida e evitar mais atividades”, disse a Microsoft. “A Microsoft não confia no sigilo do código como medida de segurança e a visualização do código-fonte não aumenta o risco. Nossa equipe já estava investigando a conta comprometida com base na inteligência de ameaças quando o ator divulgou publicamente sua invasão. Essa divulgação pública escalou nossa ação, permitindo que nossa equipe interviesse e interrompesse o ator no meio da operação, limitando o impacto mais amplo.”
A Microsoft não compartilhou mais detalhes sobre como a conta foi comprometida, mas forneceu uma visão geral das táticas, técnicas e procedimentos do grupo Lapsus$, que o Centro de Inteligência de Ameaças da empresa, conhecido como MSTIC, observou em vários ataques. Inicialmente, esses ataques visavam organizações na América do Sul e no Reino Unido, embora o Lapsus$ tenha se expandido para alvos globais, incluindo governos e empresas dos setores de tecnologia, telecomunicações, mídia, varejo e saúde.
O grupo, que a gigante da tecnologia está rastreando como DEV-0537, opera com um “modelo puro de extorsão e destruição” e, ao contrário de outros grupos de hackers, “não parece cobrir seus rastros”, segundo a Microsoft, provavelmente um aceno para o recrutamento público de membros da empresa pelo grupo para ajudá-lo a realizar seus ataques direcionados. O grupo usa vários métodos para obter acesso inicial a uma organização, que normalmente se concentra em comprometer identidades e contas de usuários. Além do recrutamento de funcionários em organizações segmentadas, isso inclui a compra de credenciais de fóruns da dark web , pesquisa em repositórios públicos de credenciais e implantar o ladrão de senhas Redline.
Lapsus$ então usa credenciais comprometidas para acessar um destino. dispositivos e sistemas voltados para a Internet da empresa, como redes privadas virtuais, infraestrutura de desktop remoto , ou serviços de gerenciamento de identidade, como Okta, que o grupo de hackers violado com sucesso em janeiro. A Microsoft diz que em pelo menos um compromisso, o Lapsus$ realizou um Ataque de troca de SIM para obter o controle do número de telefone e das mensagens de texto de um funcionário para obter acesso a autenticação multifator (MFA) códigos necessários para fazer login em uma organização.
Depois de obter acesso à rede, o Lapsus usa ferramentas disponíveis publicamente para explorar as contas de usuário de uma organização para encontrar funcionários com privilégios mais altos ou acesso mais amplo e, em seguida, direcionar plataformas de desenvolvimento e colaboração, como Jira, Slack e Microsoft Teams, onde ainda credenciais são roubadas. O grupo de hackers também usa essas credenciais para obter acesso a repositórios de código-fonte no GitLab, GitHub e Azure DevOps, como aconteceu com o ataque à Microsoft.
“Em alguns casos, o DEV-0537 até ligou para o suporte técnico da organização e tentou convencer o pessoal de suporte a redefinir as credenciais de uma conta privilegiada”, acrescentou a Microsoft. “O grupo usou as informações coletadas anteriormente (por exemplo, fotos de perfil) e fez com que um chamador nativo de inglês falasse com o pessoal do suporte técnico para aumentar sua atração de engenharia social”.
A gangue Lapsus$ configurou uma infraestrutura dedicada em provedores conhecidos de servidor virtual privado (VPS) e aproveita o serviço de rede privada virtual de consumidor NordVPN para exfiltrar dados – mesmo usando servidores VPN localizados geograficamente próximos de seus alvos para evitar o acionamento de ferramentas de detecção de rede. Os dados roubados são então usados para extorsão futura ou divulgados publicamente.
O grupo de hackers Lapsus$ ganhou fama nas últimas semanas, comprometendo várias empresas proeminentes, incluindo Nvidia e Samsung. No início desta semana, sua última vítima foi revelada como Okta depois que a gangue postou capturas de tela dos sistemas internos da gigante de identidade. Okta confirmou a violação, que foi o resultado de Lapsus$ comprometer um terceiro -party engenheiro de suporte ao cliente e disse que impactou cerca de 2,5% de seus 15.000 clientes.
Atualmente, não está claro por que a Okta não notificou seus clientes sobre o comprometimento, que ocorreu durante uma janela de cinco dias em janeiro, até agora.
Fonte: Techcrunch
