Tina、核子可乐 因工程师被未成年黑客“收买”,微软、英伟达等多家企业源代码被批量偷走。
本周,微软与身份管理平台Okta双双披露由Lapsus一手策划的违规行为。作为网络犯罪领域的一股“新势力”,Lapsus专门从大企业处窃取数据,并以公开数据内容为要挟迫使受害企业支付赎金。经过调查发现,该组织不是什么极具威胁意义的“国家性”组织,其带头人不过是一位不足18岁的青少年,而且尚未受到正式犯罪指控。
大型企业在安全上投入了万人团队、千亿资产,拥有高大上的零信任、无密码认证等方案,却抵挡不住一位未成年人采用旁门左道进行攻击。在本文中,我们将一同了解Lapsus的前世今生,看看他们如何用相对简单的技术犯下一起起惊天大案。
1入侵多家企业,公司疲于应付本周,微软被证实泄露了Bing、Cortana和其他项目的源代码,大约37GB,黑客组织Lapsus表示其中包含90%的Bing源代码以及大约45%的BingMaps和Cortana语音助手代码。
泄露的源代码项目
在最新发布的一篇博文中,微软证实受到Lapsus黑客组织的敲诈,该组织入侵了微软的某个员工的账户,“有限访问”了项目源代码存储库。微软坚称,泄露的代码还没有严重到导致风险升高,“我们的安全措施不依赖代码保密”。
微软一直相当重视企业安全,还曾挖来前亚马逊高管查理?贝尔,担任新成立的安全、合规、身份与管理部门,该部门员工预计将超过1万人,占微软员工总人数(约20万人)的5%。在网络安全的投入和收入上,微软其实已成为网络安全霸主,但意外的是,投入如此之大,也能被Lapsus轻易攻破。
在此之前,Lapsus已经泄露了来自Okta、英伟达、三星和育碧的数据。
Okta是一家为FedEx等提供身份验证服务的大型公司,据其网站数据表明他们拥有超过15,名客户。本周二,Okta确认攻击者在年1月访问了其员工的一台笔记本电脑,约2.5%的客户可能受到了影响,比如客户数据已被查看。
Okta发表了多次调查进展并进行了网络研讨会演示,声称是第三方客户支持工程师的帐户遭到了破坏,毕竟拥有多家不同文化的第三方承包商在现在是很正常事情。该账户功能有限,黑客仅进行了5天时间的访问。但Lapsus在Telegram中写道,事实上他们对Okta的系统进行了数个月的访问,还发布了内部系统的屏幕截图,显示入侵账户为超级用户,能够修改和访问客户帐户。
今年2月底,Lapsus公开承认对英伟达进行了网络攻击,声称拥有来英伟达的大约1TB数据。仅硬件文件夹就有GB,其中包含“所有最近的NvidiaGPU”的高度机密/秘密数据等。
3月初,黑客组织Lapsus在此发布了一张三星软件里的C/C++指令截图,随后便对泄密内容进行了公布,包含用于敏感操作的三星TrustZone环境中安装的每个受信任小程序(TA)的源代码、所有生物特征解锁设备算法、所有最新三星设备的引导加载程序源代码、三星激活服务器的源代码、用于授权和验证三星帐户的技术的完整源代码、来自高通的机密源代码等。3月7日,三星发布声明证实了数据泄露事件,数据高达G。
3月12日,Ubisoft发布公告,声称该公司经历了“网络安全事件”,虽然攻击者在破坏公司安全方面的尝试似乎都失败了,但育碧还是启动了全公司范围的密码重置作为预防措施。
2来自微软的调查结果:通过收买员工成功入侵目标企业Lapsus的犯罪“首秀”是在年12月,当时的勒索对象是巴西卫生部。在随后的几个月中,随着NVIDIA、三星和沃达丰等多家知名企业进入受害者名单,Lapsus的名头也是越来越响。
3月22日(本周二),Lapsus又通过自己的Telegram频道放出最新消息,称正在发布窃取自微软的源代码。微软方面在周二的博文中表示Lapsus的下载操作被中途拦截,因此并未拿到完整源代码。之所以能够及时发现,是因为Lapsus在下载尚未结束时就开始“庆功”、在Telegram频道上公开讨论起这次非法入侵活动。
Lapsus小组的一名成员在Telegram频道上承认,当时从微软处下载源代码的操作确被截断。
微软在博文中写道,“对方的公开披露提醒我们及时升级保护措施,微软团队得以干预并打断了对方的数据下载。在调查中,我们发现有一个账户遭到盗用,导致对方获得了有限的访问权限。”从这次事件看,Lapsus似乎很像那种初出茅庐、迫切想闯出一番名号的毛头小子——但恰恰相反,Lapsus的攻击策略相当成熟、值得企业安全部门高度