Discussion :

[Stéphane le calme]

Les cybercriminels de Lapsus$ divulguent 37 Go du code source présumé de Microsoft notamment de Cortana, Bing et Bing Maps.
Le groupe a également piraté et divulgué des données de LG Electronics

Le groupe Lapsus$ est le même groupe de hackers qui avait attaqué les serveurs internes de NVIDIA et volé plus de 1 To de données il y a quelques semaines. NVIDIA a attaqué au ransomware les hackers pour les empêcher de se servir des données, mais ces derniers possédaient une sauvegarde. Suite au piratage de NVIDIA, le groupe a également piraté et divulgué le code source et des données importantes de Samsung. Le groupe aurait volé 190 gigas de données à Samsung. Plus tard, les deux entreprises ont confirmé la cyberattaque.

Cette fois-ci, c'est au tour de Microsoft et LG d'en faire les frais. Lapsus$ a affirmé sur sa chaîne Telegram qu'il avait divulgué dans un fichier d'archive téléchargeable la majeure partie du code source de Bing Maps et environ la moitié du code Bing et Cortana. Les cybercriminels prétendent également avoir compromis LG Electronics pour la deuxième fois en un an.

Le groupe de piratage Lapsus$ prétend avoir divulgué le code source de Bing, Cortana et d'autres projets volés sur le serveur Azure DevOps interne de Microsoft. Dimanche, le groupe de cybercriminels Lapsus$ a publié une capture d'écran sur sa chaîne Telegram indiquant qu'il avait piraté le serveur Azure DevOps de Microsoft contenant le code source pour Bing, Cortana et divers autres projets internes.

Le lendemain, le groupe de piratage a publié un torrent pour une archive 7zip de 9 Go contenant le code source de plus de 250 projets qui, selon eux, appartiennent à Microsoft.

Lors de la publication du torrent, Lapsus$ a déclaré qu'il contenait 90 % du code source de Bing et environ 45 % du code de Bing Maps et Cortana.

Même s'ils disent qu'une partie seulement du code source a été divulguée, les personnes ayant téléchargé l'archive compressée puis l'ayant décompressée indiquent sur Telegram que l'archive non compressée contient environ 37 Go de code source appartenant prétendument à Microsoft.

Les chercheurs en sécurité qui se sont penchés sur les fichiers divulgués ont déclaré qu'ils semblaient être du code source interne légitime de Microsoft.

De plus, ils ont noté que certains des projets divulgués contiennent des e-mails et de la documentation qui ont clairement été utilisés en interne par les ingénieurs de Microsoft pour publier des applications mobiles.

Les projets semblent concerner une infrastructure Web, des sites Web ou des applications mobiles, sans code source pour les logiciels de bureau Microsoft publiés, y compris Windows, Windows Server et Microsoft Office.

Contactée par les médias au sujet de la prétendue fuite de code, Microsoft a déclaré être au courant de ces allégations et qu'une enquête était menée.

LG également frappé

Parallèlement aux données de Microsoft, le groupe Lapsus$ a également divulgué les détails des employés et des comptes de service de LG.com. C'est la deuxième fois que le groupe Lapsus$ pirate LG en un an.

Les hackers ont divulgué le fichier texte contenant les détails de journalisation des employés et d'autres comptes de service. Le fichier texte contient le nom d'utilisateur et le mot de passe haché de LG. Parallèlement à cela, le groupe de hackers a également écrit « Le dump de la confluence de l'infrastructure de LG sera bientôt publié ».

Lapsus$ fait fuiter des données à gauche et à droite

Lapsus$ est un groupe sud-américain de hackers d'extorsion de données qui compromet les systèmes d'entreprise pour voler le code source, les listes de clients, les bases de données et d'autres données précieuses. Ils tentent ensuite de rançonner la victime pour ne pas divulguer publiquement les données.

Au cours des derniers mois, Lapsus$ a révélé de nombreuses cyberattaques contre de grandes entreprises, avec des attaques confirmées contre NVIDIA, Samsung, Vodafone, Ubisoft et Mercado Libre.

Après le piratage de NVIDIA suite auquel les hackers ont prétendument volé plus de 1 To de données, le fabricant de puces a lancé une enquête sur ces hackers et, selon une publication sur le compte twitter de Vx-underground (qui évolue dans la Threat Intelligence - une discipline basée sur des techniques du renseignement, qui a pour but la collecte et l'organisation de toutes les informations liées aux menaces du cyberespace, afin de dresser un portrait des attaquants ou de mettre en exergue des tendances), le fabricant de puces aurait riposté en se faufilant dans le système du pirate et en chiffrant les données volées :

« Le groupe d'extorsion LAPSUS$, un groupe opérant en Amérique du Sud, affirme avoir pénétré par effraction les systèmes de NVIDIA et exfiltré plus de 1 To de données propriétaires. LAPSUS$ affirme que NVIDIA a effectué un piratage et déclare que NVIDIA a réussi à attaquer ses machines à l'aide d'un ransomware ».

Peine perdue puisque le groupe disposait d'une sauvegarde valide et a publié quelques jours plus tard les données dérobées à NVIDIA ; les efforts de NVIDIA ont donc été vains.

Jusqu'à présent, la plupart des attaques ont ciblé des référentiels de code source, permettant aux acteurs malveillants de voler des données propriétaires sensibles, telles que la technologie Lite Hash Rate (LHR) de NVIDIA qui permet aux cartes graphiques de réduire la capacité de minage de cryptomonnaie d'un GPU.

On ne sait pas comment les acteurs malveillants pénètrent dans ces référentiels, mais certains chercheurs en sécurité pensent qu'ils paient des initiés de l'entreprise pour y accéder.

« De mon point de vue, ils continuent d'obtenir leur accès en utilisant des initiés de l'entreprise », a déclaré Tom Malka, analyste des renseignements sur les menaces.

Cette théorie n'est pas farfelue, car Lapsus$ a précédemment annoncé qu'il était prêt à acheter l'accès aux réseaux des employés.

Cependant, cela peut être plus que cela, car Lapsus$ a publié des captures d'écran de leur accès à ce qu'ils prétendent être les sites Web internes d'Okta. Comme Okta est une plateforme d'authentification et de gestion des identités, si Lapsus$ parvenait à infiltrer l'entreprise, ils pourraient potentiellement l'utiliser comme tremplin pour les clients de l'entreprise.

Quant à Lapsus$, ils ont développé un large public sur Telegram, avec plus de 36 000 abonnés sur leur chaîne principale et plus de 8 000 sur leur chaîne de chat.

Le groupe d'extorsion utilise leurs chaînes Telegram très actives pour annoncer de nouvelles fuites et attaques et discuter avec leurs fans, et il semble profiter de leur notoriété.

Avec la fermeture du forum sur les violations de données RaidForums, nous voyons probablement de nombreux habitués de ce site interagir désormais sur les canaux Telegram de Lapsus$.

Des retombées

Des cybercriminels utilisent un certificat NVIDIA pour les faire apparaître comme des applications NVIDIA sur Windows

Un certificat de signature de code NVIDIA faisait partie de la montagne de fichiers volés et divulgués en ligne par ces cybercriminels.

Au moins deux binaires non développés par NVIDIA, mais signés plus tôt ce mois-ci avec son certificat volé, les faisant apparaître comme des programmes NVIDIA, sont apparus dans la base de données d'échantillons de logiciels malveillants VirusTotal.

Cette fuite signifie que les administrateurs système doivent prendre des mesures, ou revoir leurs politiques de sécurité et leurs défenses, pour s'assurer que le code récemment signé par le certificat non autorisé est détecté et bloqué, car il sera très probablement malveillant. Cela peut être fait via la configuration de Windows, les règles de filtrage du réseau ou tout ce que vous utilisez pour contrôler votre organisation.

Le responsable de la sécurité informatique Bill Demirkapi a tweeté un avertissement concernant le certificat pouvant potentiellement être utilisé pour signer les fichiers de pilote au niveau du noyau Windows :

« Dans le cadre des #NvidiaLeaks, deux certificats de signature de code ont été compromis. Bien qu'ils aient expiré, Windows autorise toujours leur utilisation à des fins de signature de pilote ».

Dans des tweets ultérieurs, il a ajouté que Windows accepterait les pilotes signés avec des certificats émis avant le 29 juillet 2015 sans horodatage. La politique de signature des pilotes Windows de Microsoft corrobore cela, indiquant que le système d'exploitation exécutera des pilotes « signés avec un certificat d'entité finale émis avant le 29 juillet 2015 qui s'enchaîne à une autorité de certification à signature croisée prise en charge ».

Le code source de la dernière technologie DLSS de NVIDIA publié ainsi que celui de la protection anti-minage Nividia LHR (Light Hash Rate)

NVIDIA était réticent à rendre sa technologie propriétaire DLSS open source, et ce malgré le fait qu'AMD FSR et Intel XeSS le fassent ou envisagent de le faire. La société a fait des progrès pour permettre à davantage de développeurs de participer au programme, mais n'a jamais publié de code source de sa technologie.

Deep Learning Super Sampling (alias DLSS) est une technologie d'intelligence artificielle que NVIDIA a développée afin d'aider à améliorer les performances de votre machine de jeu même lorsque vous utilisez des paramètres plus élevés. L'idée est de mettre moins de pression sur votre GPU en rendant limage d'origine à une résolution inférieure, puis en utilisant l'intelligence artificielle pour augmenter cette image pour donner l'impression qu'elle est exécutée à une résolution plus élevée.

Voici la description faite par NVIDIA sur sa technologie :

« Basé sur les capacités phénoménales de l’IA, le super-échantillonnage par Deep Learning (DLSS) de NVIDIA est une technologie de rendu révolutionnaire qui vous offre un tout nouveau niveau de performances graphiques grâce aux processeurs Tensor Core dédiés à l’IA des GPU GeForce RTX. Le DLSS met à profit toute la puissance d’un réseau optimisé de neurones profonds pour accélérer les fréquences d’images tout en générant des visuels époustouflants d’une netteté incomparable ».

« La technologie NVIDIA DLSS vous permet de profiter du ray tracing dans des résolutions ultra-élevées. Le DLSS exploite des techniques de rendu avancé basées sur l’IA pour produire une qualité d’image comparable ou supérieure à celle de la résolution native tout en n’affichant qu’une fraction des pixels de chaque scène. Des techniques novatrices de rétroaction temporelle sont mises en œuvre pour vous offrir des visuels bien plus nets et détaillés, avec une stabilité accrue d’une image à l’autre ».

Pour mémoire, NVIDIA avait décidé de brider ses cartes contenant une GPU GA102 ou GA104 pour les rendre moins intéressantes auprès des mineurs. Une mesure extrême liée à la pénurie chronique de cartes NVIDIA depuis leur lancement. Pénurie empirée par l’énorme demande, la pénurie mondiale de puces, et maintenant, potentiellement la guerre en Ukraine qui s’accompagne de lourdes sanctions contre la Russie (sachant que la Russie et l’Ukraine délivrent à l’industrie des semiconducteurs l’écrasante majorité du gaz néon ultra-pur nécessaire aux lasers EUV, et du palladium utilisé dans de nombreux composants).

La publication du code source logiciel et firmware du système de protection anti-minage Nividia LHR (Light Hash Rate) pourrait avoir un impact sur le prix des dernières cartes graphiques NVIDIA ; ils pourraient de nouveau augmenter sous pression des spéculateurs et des mineurs qui risquent d’acheter les RTX 3090, 3080 et 3070 en masse pour miner des Bitcoin et Ethereum.

Source : page Telegram de Lapsus$

Et vous ?

Quelle lecture faites-vous de cette série de piratage ?
L'hypothèse de l'initié donnant des clés aux hackers vous semble-t-elle crédible ?
Pour ou contre le fait que l'entreprise paie pour ne pas voir ses données publiées ?
Pour ou contre le fait que l'entreprise lance une cyberattaque pour empêcher ses agresseurs de se servir des données qu'ils ont volées ?

Voir aussi :

Près de 200 Go de code source de Samsung et le code source de la dernière technologie DLSS de NVIDIA ont été publiés en ligne par les pirates Lapsus$. GitGuardian a découvert 6 695 clés de Samsung
NVIDIA aurait attaqué au ransomware des hackers qui ont pénétré ses systèmes et auraient volé 1 To de données, mais les hackers ont affirmé qu'ils disposaient d'une sauvegarde de ces données

[Stéphane le calme]

Microsoft confirme avoir été la cible d'un piratage alors que Lapsus$ divulgue 37 Go de code source,
mais l'entreprise minimise l'incident et précise que les hackers n'ont eu qu'un accès « limité »

Le groupe de piratage Lapsus$, connu pour avoir prétendu avoir piraté NVIDIA, Samsung, LG Electronics et d'autres entreprises, a affirmé cette semaine avoir même piraté Microsoft. Le groupe a publié un fichier qui, selon lui, contient du code source partiel pour Bing et Cortana dans une archive contenant près de 37 Go de données.

Mardi, après enquête, Microsoft a confirmé que l'un des comptes de ses employés avait été compromis par Lapsus$, offrant un accès limité aux référentiels de code source ; c'est donc par ce biais que les hackers ont volé des parties du code source de certains de ses produits. Un billet de blog sur son site de sécurité indique que les enquêteurs de Microsoft suivent le groupe Lapsus$ depuis des semaines et détaillent certaines des méthodes qu'ils ont utilisées pour compromettre les systèmes des victimes. Selon le Microsoft Threat Intelligence Center (MSTIC), « l'objectif des acteurs DEV-0537 est d'obtenir un accès élevé grâce à des informations d'identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée, entraînant souvent de l'extorsion. Les tactiques et les objectifs indiquent qu'il s'agit d'un acteur cybercriminel motivé par le vol et la destruction. »

Microsoft a confirmé des informations selon lesquelles il a été piraté par le groupe d'extorsion Lapsus$, également connu sous le nom de DEV-0537. Tout en admettant que les pirates ont réussi à voler le code source, la société tente simultanément de minimiser l'incident. Microsoft soutient que le code divulgué n'est pas suffisamment grave pour entraîner une élévation du risque et que ses équipes d'intervention ont arrêté les pirates en cours d'opération.

Lapsus$ a partagé en ligne une archive de 37 Go contenant du code source partiel pour Cortana et Bing, mais Microsoft insiste sur le fait qu'aucune donnée client n'a été compromise. La société affirme que « notre enquête a révélé qu'un seul compte avait été compromis, accordant un accès limité » :

« Au cours des dernières semaines, les équipes de Microsoft Security ont activement suivi une campagne d'ingénierie sociale et d'extorsion à grande échelle contre plusieurs organisations, certaines ayant vu des preuves d'éléments destructeurs. Au fur et à mesure que cette campagne s'est accélérée, nos équipes se sont concentrées sur la détection, les notifications aux clients, les briefings sur les renseignements sur les menaces et le partage avec nos partenaires de collaboration de l'industrie pour comprendre les tactiques et les cibles de l'acteur. Au fil du temps, nous avons amélioré notre capacité à suivre cet acteur et aidé les clients à minimiser l'impact des intrusions actives et, dans certains cas, travaillé avec les organisations concernées pour arrêter les attaques avant le vol de données ou les actions destructrices. Microsoft s'engage à fournir une visibilité sur les activités malveillantes que nous avons observées et à partager des informations et des connaissances sur les tactiques des acteurs qui pourraient être utiles à d'autres organisations pour se protéger. Bien que notre enquête sur les attaques les plus récentes soit toujours en cours, nous continuerons à mettre à jour ce blog lorsque nous aurons plus à partager.

« L'activité que nous avons observée a été attribuée à un groupe de menaces que Microsoft suit sous le nom de DEV-0537, également connu sous le nom de LAPSUS$. DEV-0537 est connu pour utiliser un modèle d'extorsion et de destruction pure sans déployer de charges utiles de ransomware. DEV-0537 a commencé à cibler des organisations au Royaume-Uni et en Amérique du Sud, mais s'est étendu à des cibles mondiales, y compris des organisations dans les secteurs du gouvernement, de la technologie, des télécommunications, des médias, de la vente au détail et de la santé. DEV-0537 est également connu pour prendre en charge les comptes d'utilisateurs individuels sur les échanges de cryptomonnaie pour drainer les avoirs en cryptomonnaie.

« Contrairement à la plupart des groupes d'activités qui restent sous le radar, DEV-0537 ne semble pas couvrir ses traces. Ils vont jusqu'à annoncer leurs attaques sur les réseaux sociaux ou à annoncer leur intention d'acheter des identifiants à des employés d'organisations cibles. DEV-0537 utilise également plusieurs tactiques qui sont moins fréquemment utilisées par d'autres acteurs malveillants suivis par Microsoft. Leurs tactiques incluent l'ingénierie sociale par téléphone ; les échange de carte SIM pour faciliter la prise de contrôle de compte ; l'accès aux comptes de messagerie personnels des employés des organisations cibles ; le paiement des employés, des fournisseurs ou des partenaires commerciaux des organisations cibles pour acceder aux informations d'identification et d'approbation de l'authentification multifacteur (MFA) et s'immiscer dans les appels de communication de crise en cours de leurs cibles.

« L'ingénierie sociale et les tactiques centrées sur l'identité exploitées par DEV-0537 nécessitent des processus de détection et de réponse similaires aux programmes de risques internes, mais impliquent également des délais de réponse courts nécessaires pour faire face aux menaces externes malveillantes. Dans ce blog, nous compilons les tactiques, techniques et procédures (TTP) que nous avons observées à travers plusieurs attaques et compromissions. Nous fournissons également des stratégies et des recommandations d'atténuation des risques de base pour aider les organisations à renforcer la sécurité de leur organisation contre ce mélange unique d'artisanat ».

Analyse

Microsoft a expliqué que les acteurs derrière DEV-0537 ont concentré leurs efforts d'ingénierie sociale pour recueillir des connaissances sur les opérations commerciales de leur cible. Ces informations comprennent des connaissances intimes sur les employés, les structures d'équipe, les services d'assistance, les flux de travail de réponse aux crises et les relations de la chaîne d'approvisionnement. Des exemples de ces tactiques d'ingénierie sociale incluent le spam d'un utilisateur cible avec des invites d'authentification multifacteur (MFA) et l'appel du service d'assistance de l'organisation pour réinitialiser les informations d'identification d'une cible.

Microsoft Threat Intelligence Center (MSTIC) évalue que l'objectif de DEV-0537 est d'obtenir un accès élevé grâce à des informations d'identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée, entraînant souvent une extorsion. Les tactiques et les objectifs indiquent qu'il s'agit d'un acteur cybercriminel motivé par le vol et la destruction.

Accès initial

DEV-0537 utilise une variété de méthodes qui visent généralement à compromettre les identités des utilisateurs pour obtenir un accès initial à une organisation, notamment :

• déploiement du voleur de mots de passe malveillant Redline pour obtenir des mots de passe et des jetons de session ;
• achat d'identifiants et de jetons de session auprès de forums criminels clandestins ;
• paiement des employés d'organisations ciblées (ou de fournisseurs/partenaires commerciaux) pour l'accès aux informations d'identification et à l'approbation du MFA ;
• recherche dans les référentiels de code public des informations d'identification exposées.

À l'aide des informations d'identification ou des jetons de session compromis, DEV-0537 accède aux systèmes et applications accessibles sur Internet. Ces systèmes incluent le plus souvent un réseau privé virtuel (VPN), un protocole de bureau à distance (RDP), une infrastructure de bureau virtuel (VDI), y compris Citrix, ou des fournisseurs d'identité (y compris Azure Active Directory, Okta). Pour les organisations utilisant la sécurité MFA, DEV-0537 a utilisé deux techniques principales pour satisfaire aux exigences MFA : la relecture des jetons de session et l'utilisation de mots de passe volés pour déclencher des invites MFA d'approbation simple en espérant que l'utilisateur légitime du compte compromis finira par accepter les invites et accordera le nécessaire.

Dans certains cas, DEV-0537 a d'abord ciblé et compromis les comptes personnels ou privés (non liés au travail) d'un individu, ce qui lui a donné accès à des informations d'identification supplémentaires qui pourraient être utilisées pour accéder aux systèmes de l'entreprise. Étant donné que les employés utilisent généralement ces comptes personnels ou numéros de téléphone mobile comme authentification à deux facteurs ou récupération de mot de passe, le groupe utilise souvent cet accès pour réinitialiser les mots de passe et effectuer des actions de récupération de compte.

Microsoft a également trouvé des cas où le groupe a réussi à accéder à des organisations cibles par le biais d'employés recrutés (ou d'employés de leurs fournisseurs ou partenaires commerciaux). DEV-0537 a annoncé qu'il souhaitait acheter des informations d'identification pour ses cibles afin d'inciter les employés ou les sous-traitants à participer à son fonctionnement. Moyennant des frais, le complice volontaire doit fournir ses informations d'identification et approuver l'invite MFA ou demander à l'utilisateur d'installer AnyDesk ou un autre logiciel de gestion à distance sur un poste de travail d'entreprise permettant à l'acteur malveillant de prendre le contrôle d'un système authentifié. Une telle tactique n'était que l'une des façons dont DEV-0537 a tiré parti de l'accès sécurisé et des relations commerciales que leurs organisations cibles entretiennent avec leurs fournisseurs de services et leurs chaînes d'approvisionnement.

Dans une autre activité observée, les acteurs du DEV-0537 ont effectué une attaque par échange de carte SIM pour accéder au numéro de téléphone d'un utilisateur avant de se connecter au réseau de l'entreprise. Cette méthode permet aux acteurs de gérer les invites d'authentification par téléphone dont ils ont besoin pour accéder à une cible.

Une fois les informations d'identification ou l'accès utilisateur standard obtenus, DEV-0537 connectait généralement un système au VPN d'une organisation. Dans certains cas, pour répondre aux exigences d'accès conditionnel, DEV-0537 s'est enregistré ou a joint le système à Azure Active Directory (Azure AD) de l'organisation.

Reconnaissance et élévation de privilèges

Une fois que DEV-0537 a obtenu l'accès au réseau cible à l'aide du compte compromis, il a utilisé plusieurs tactiques pour découvrir des informations d'identification ou des points d'intrusion supplémentaires afin d'étendre son accès, notamment :

• exploitation des vulnérabilités non corrigées sur des serveurs accessibles en interne, notamment JIRA, Gitlab et Confluence ;
• recherche dans les référentiels de code et les plateformes de collaboration des informations d'identification et des secrets exposés.

Il a été constamment observé qu'ils utilisent AD Explorer, un outil accessible au public, pour énumérer tous les utilisateurs et groupes dudit réseau. Cela leur permet de comprendre quels comptes pourraient avoir des privilèges plus élevés. Ils ont ensuite recherché des plateformes de collaboration comme SharePoint ou Confluence, des solutions de suivi des problèmes comme JIRA, des référentiels de code comme GitLab et GitHub et des canaux de collaboration d'organisation comme Teams ou Slack pour découvrir d'autres informations d'identification de compte à privilèges élevés pour accéder à d'autres informations sensibles.

DEV-0537 est également connu pour exploiter les vulnérabilités de Confluence, JIRA et GitLab pour l'élévation des privilèges. Le groupe a compromis les serveurs exécutant ces applications pour obtenir les informations d'identification d'un compte privilégié ou s'exécuter dans le contexte dudit compte et vider les informations d'identification à partir de là. Le groupe a utilisé des attaques DCSync et Mimikatz pour effectuer des routines d'escalade de privilèges. Une fois l'accès administrateur de domaine ou son équivalent obtenu, le groupe a utilisé l'utilitaire intégré ntdsutil pour extraire la base de données AD.

Dans certains cas, DEV-0537 a même appelé le service d'assistance de l'organisation et a tenté de convaincre le personnel d'assistance de réinitialiser les informations d'identification d'un compte privilégié. Le groupe a utilisé les informations précédemment recueillies (par exemple, les photos de profil) et a demandé à un appelant de langue maternelle anglaise de parler avec le personnel du service d'assistance pour renforcer son attrait d'ingénierie sociale. Les actions observées ont inclus DEV-0537 répondant aux invites de récupération courantes telles que « la première rue dans laquelle vous avez vécu » ou « le nom de jeune fille de la mère » pour convaincre le personnel du service d'assistance de l'authenticité. Étant donné que de nombreuses organisations externalisent leur support technique, cette tactique tente d'exploiter ces relations de chaîne d'approvisionnement, en particulier lorsque les organisations donnent à leur personnel de support technique la possibilité d'élever les privilèges.

Exfiltration, destruction et extorsion

D'après les observations de Microsoft, DEV-0537 dispose d'une infrastructure dédiée qu'il exploite chez des fournisseurs de serveurs privés virtuels (VPS) connus et exploite NordVPN pour ses points de sortie. DEV-0537 est conscient des détections telles que les déplacements impossibles et a donc choisi des points de sortie VPN qui ressemblaient géographiquement à leurs cibles. DEV-0537 a ensuite téléchargé les données sensibles de l'organisation ciblée pour une extorsion future ou une diffusion publique sur le système joint au VPN de l'organisation et/ou au système joint à Azure AD.

Il a été observé que le DEV-0537 utilisait l'accès aux actifs cloud pour créer de nouvelles machines virtuelles dans l'environnement cloud de la cible, qu'ils utilisent comme infrastructure contrôlée par les acteurs pour effectuer d'autres attaques dans l'organisation cible.

S'ils réussissent à obtenir un accès privilégié au locataire cloud d'une organisation (AWS ou Azure), DEV-0537 crée des comptes d'administrateur globaux dans les instances cloud de l'organisation, définit une règle de transport de messagerie au niveau du locataire Office 365 pour envoyer tous les messages entrants et sortants de l'organisation au compte nouvellement créé, puis supprime tous les autres comptes d'administrateurs globaux, de sorte que seul l'acteur ait le contrôle exclusif des ressources cloud, bloquant ainsi l'organisation de tout accès. Après exfiltration, DEV-0537 supprime souvent les systèmes et ressources de la cible. Microsoft a observé la suppression de ressources à la fois sur site (par exemple, VMWare vSphere/ESX) et dans le cloud pour déclencher le processus de réponse aux incidents et aux crises de l'organisation.

L'acteur malveillant a été observé alors rejoignant les appels de communication de crise de l'organisation et les forums de discussion internes (Slack, Teams, conférences téléphoniques et autres) pour comprendre le flux de travail de réponse aux incidents et leur réponse correspondante. Microsoft pense que cela fournit à DEV-0537 un aperçu de l'état d'esprit de la victime, sa connaissance de l'intrusion et un lieu pour lancer des demandes d'extorsion. Notamment, DEV-0537 a été observé en train de rejoindre des ponts de réponse aux incidents au sein d'organisations ciblées répondant à des actions destructrices. Dans certains cas, DEV-0537 a rançonné des victimes pour empêcher la divulgation de données volées, et dans d'autres, aucune tentative d'extorsion n'a été faite et DEV-0537 a divulgué publiquement les données volées.

Source : Microsoft

Voir aussi :

Près de 200 Go de code source de Samsung et le code source de la dernière technologie DLSS de NVIDIA ont été publiés en ligne par les pirates Lapsus$. GitGuardian a découvert 6 695 clefs de Samsung
NVIDIA aurait attaqué au ransomware des hackers qui ont pénétré ses systèmes et auraient volé 1 To de données, mais les hackers ont affirmé qu'ils disposaient d'une sauvegarde de ces données

[Stéphane le calme]

Un jeune de 16 ans d'Oxford accusé d'être le cerveau derrière le groupe de cybercriminels Lapsus$,
qui a piraté Microsoft, NVIDIA, Samsung, LG Electronics et d'autres entreprises en quelques mois

Des chercheurs en cybersécurité enquêtant sur une série de piratages contre des entreprises technologiques, dont Microsoft Corp. et NVIDIA Corp., ont retracé les attaques jusqu'à un jeune de 16 ans vivant dans la maison de sa mère près d'Oxford, en Angleterre. Quatre chercheurs enquêtant sur le groupe de piratage Lapsus$, au nom des entreprises qui ont été attaquées, ont déclaré qu'ils pensaient que l'adolescent était le cerveau derrière la récente série d'attaques contre les entreprises technologiques. Lapsus$ a dérouté les experts en cybersécurité alors qu'il s'est lancé dans une vague de piratages de haut niveau. La motivation derrière les attaques n'est toujours pas claire, mais certains chercheurs en cybersécurité disent croire que le groupe est motivé par l'argent et la notoriété.

Lapsus$ est un nom qui a gagné en visibilité du fait de ses cibles de haute valeur : parmi les noms les plus significatifs figurent Samsung, NVIDIA, Ubisoft, LG Electronics (deux fois) et Vodafone ; il s'agit donc principalement des entreprises évoluant dans le secteur de la tech, au sens large. Et dernièrement, Lapsus$ a attaqué Microsoft, en lui dérobant des portions de code source.

Microsoft a expliqué que le groupe de cybercriminels a concentré ses efforts d'ingénierie sociale pour recueillir des connaissances sur les opérations commerciales de leur cible. Ces informations comprennent des connaissances intimes sur les employés, les structures d'équipe, les services d'assistance, les flux de travail de réponse aux crises et les relations de la chaîne d'approvisionnement. Des exemples de ces tactiques d'ingénierie sociale incluent le spam d'un utilisateur cible avec des invites d'authentification multifacteur (MFA) et l'appel du service d'assistance de l'organisation pour réinitialiser les informations d'identification d'une cible.

Microsoft Threat Intelligence Center (MSTIC) évalue que l'objectif de Lapsus$ est d'obtenir un accès élevé grâce à des informations d'identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée, entraînant souvent une extorsion. Les tactiques et les objectifs indiquent qu'il s'agit d'un acteur cybercriminel motivé par le vol et la destruction.

Les actions de Lapsus$ n’ont pas été anodines pour les entreprises touchées. Le code source de plusieurs applications clés de Microsoft (son moteur de recherche Bing, son assistant virtuel Cortana, son outil cartographique Bing Maps) a été diffusé. Pour NVIDIA, ce sont des informations sur ses cartes graphiques actuelles et futures et certaines technologies qui ont été exposées.

Sans doute pour empêcher les hackers de les faire chanter en s'appuyant sur ces données, NVIDIA aurait riposté en se faufilant dans le système du pirate et en chiffrant les données volées. C'est ce qu'affirme une publication sur le compte twitter de Vx-underground (qui évolue dans la Threat Intelligence - une discipline basée sur des techniques du renseignement, qui a pour but la collecte et l'organisation de toutes les informations liées aux menaces du cyberespace, afin de dresser un portrait des attaquants ou de mettre en exergue des tendances), captures d'écran à l'appui :

« Le groupe d'extorsion LAPSU$, un groupe opérant en Amérique du Sud, affirme avoir pénétré par effraction les systèmes de NVIDIA et exfiltré plus de 1 To de données propriétaires. LAPSU$ affirme que NVIDIA a effectué un piratage et déclare que NVIDIA a réussi à attaquer ses machines à l'aide d'un ransomware ».

Mais les hackers ont déclaré disposer d'une sauvegarde des données, rendant ainsi vains les efforts de NVIDIA : « Heureusement, nous disposions d'une sauvegarde. Mais pourquoi pensaient-ils qu'ils pouvaient se connecter à notre machine privée et installer un ransomware ? »

L'un des cerveaux de l'affaire pourrait avoir 16 ans

La police de la ville de Londres a arrêté sept adolescents en raison de leurs liens présumés avec un groupe de piratage qui serait le groupe récemment prolifique Lapsus$ : « La police de la ville de Londres a mené une enquête avec ses partenaires sur les membres d'un groupe de piratage. Sept personnes âgées de 16 à 21 ans ont été arrêtées dans le cadre de cette enquête et ont toutes été libérées sous enquête. Nos enquêtes restent en cours », a déclaré l'inspecteur-détective Michael O'Sullivan de la police de la ville de Londres dans un communiqué.

Un jeune de 16 ans d'Oxford est soupçonné d'être l'un des chefs du gang de cybercriminalité Lapsus$. Avec son surnom en ligne, "Breachbase" ou "White", l'adolescent a gagné l'équivalent de 14 millions de dollars en Bitcoin à ce jour. Il n’a pas été précisé si celui qui est décrit comme la tête pensante du groupe figure parmi les sept interpellés.

"Breachbase" ou "White" a été victime de doxxing* sur un site Web pirate par son partenaire commercial après un différend entre eux. Les pirates ont révélé son nom, son adresse, des photos sur les réseaux sociaux et ont également publié une biographie de sa carrière de pirate.
(* le doxxing est une pratique consistant à rechercher les informations sensibles de quelqu’un pour les publier sur Internet. Les pirates y ont recours pour se venger d’internautes, les harceler ou les faire chanter)

L'administrateur de Lapsus$, "Breachbase" ou "White", était supposé verser à l'administrateur de Doxbin "KT" plus de 25 000 $ pour retirer son dox de son site et diffuser de la désinformation sur sa véritable identité. Voici la conversation et le motif de la publication.

Les chercheurs soupçonnent l'adolescent d'être à l'origine de certains des principaux piratages effectués par Lapsus$, mais ils n'ont pas été en mesure de le lier de manière concluante à tous les piratages revendiqués par Lapsus$. Les cyberchercheurs ont utilisé des preuves médico-légales provenant des hacks ainsi que des informations accessibles au public pour lier l'adolescent au groupe de piratage.

Les chercheurs en cybersécurité suivent "White" depuis près d'un an et l'ont lié à Lapsus$ et à d'autres incidents de piratage. L'adolescent a commis de multiples erreurs qui ont aidé les chercheurs à suivre son activité sur les comptes en ligne.

Allison Nixon, responsable de la recherche à la société d'enquête sur la cybersécurité Unit 221B, a déclaré : « Nous avons son nom depuis le milieu de l'année dernière et nous l'avons identifié avant le doxxing ». Et d'ajouter : « Nous l'avons observé sur ses exploits tout au long de 2021 ».

BBC News indique avoir parlé au père de l'adolescent, qui n'était apparemment pas au courant de son implication dans le groupe : « Je n'avais jamais entendu parler de tout cela jusqu'à récemment. Il n'a jamais parlé de piratage, mais il est très doué en informatique et passe beaucoup de temps sur l'ordinateur », a déclaré le père, selon les informations de la BBC. « J'ai toujours pensé qu'il jouait. Nous essaierons de l'empêcher d'utiliser des ordinateurs ».

Le récit livré par le média anglophone surprend du fait de l’âge de celui que l’on présente comme la tête pensante de l’un des groupes les plus médiatisés ces dernières semaines. Mais cette particularité n’est pas forcément rare : au sein du collectif LulzSec, qui s’était fait connaître en 2011 avec diverses intrusions informatiques, certains membres n’avaient pas 20 ans.

Un autre membre de Lapsus$ est soupçonné d'être un adolescent résidant au Brésil, selon les enquêteurs. Une personne enquêtant sur le groupe a déclaré que les chercheurs en sécurité avaient identifié sept comptes uniques associés au groupe de piratage, ce qui indique qu'il y a probablement d'autres personnes impliquées dans les opérations du groupe.

L'adolescent est si doué pour le piratage (et si rapide) que les chercheurs ont d'abord pensé que l'activité qu'ils observaient était automatisée, a déclaré une autre personne impliquée dans la recherche.

Lapsus$ a publiquement nargué ses victimes, en divulguant son code source et ses documents internes. Lorsque Lapsus$ a révélé qu'il avait réussi à entrer par effraction dans Okta Inc., il a plongé l'entreprise dans une crise de relations publiques.

Pour mémoire, Okta est une entreprise américaine propose des solutions de gestion d'accès sécurisé (authentification) à des serveurs en ligne à ses clients. Son activité relève donc de la cybersécurité et de la protection. Parmi ses clients, on retrouve les français Engie, Foncia, ou encore La Croix-Rouge française. Un piratage de ses systèmes, qui sont eux-mêmes chargés d'en sécuriser des centaines d'autres, pourrait donc avoir des répercutions majeures.

Okta a échangé avec Lapsus$ par communiqués de presse interposés, entre le 20 et le 22 mars. Tentant dans un premier temps d'éteindre l'incendie, l'entreprise a reconnu, dans son plus récent communiqué, qu'une partie de ses clients avait bien été affectée.

« Après une enquête approfondie, nous en avons conclu qu'un petit pourcentage de clients, approximativement 2,5 %, ont potentiellement été affectés, et dont les données ont été vues ou manipulées. Nous avons identifié ces clients et les avons contactés », a déclaré David Bradbury, directeur des ventes d'Okta, dans un communiqué publié le 22 mars. Cela représente, sur les 15 000 clients revendiqués par l'entreprise, au moins 375 d'entre eux.

Lapsus$ est même allé jusqu'à rejoindre les appels Zoom des entreprises dont ils ont forcé l'accès, où ils ont provoqué des employés et des consultants qui ont tenté de colmater les brèches de leur piratage.

Quoi qu'il en soit, sur sa page Telegram, Lapsus$ a déclaré le 23 mars : « Certains de nos membres ont des vacances jusqu'au 30/3/2022. Nous pourrions être silencieux pendant quelque temps. Merci pour votre compréhension - nous essaierons de divulguer des trucs dès que possible ». Le 25 mars, Lapsus$ a annoncé l'arrivée d'un nouveau modérateur de chat.

Sources : page Telegram de Lapsus$, Okta, BBC

Voir aussi :

Quelle lecture en faites-vous ?
Que pensez-vous du piratage d'Okta, l'entreprise américaine proposant des solutions de gestion d'accès sécurisé (authentification) à des serveurs en ligne à ses clients ?
Que pensez-vous du fait que l'entreprise ait tenté de minimiser la portée du piratage puis a été obligé d'avouer après des échanges par communiqués interposés avec les cybercriminels que 2,5 % de son portefeuille clients (soit au moins 375 entreprises) étaient affectés ?

[smobydick]

Ça me fait penser au jeune d'il y a quelques années qui avait une team pour lancer des attaques Ddos et qui s'affichait volontiers à visage découvert. Il avait même participer à une interview.
J'arrive plus à mettre la main sur son nom mais lui aussi cherchait surtout la célébrité.

[Blaise]

Pour moi, cela veut surtout dire qu'aucune entreprise ou base de données n'est à l'abri.

Ma plus grande inquiétude concerne les bases de données étatiques ou autres. Par exemple, en Belgique, le « fichage » dans le dossier médical global, la mutuelle, la sécurité sociale et moult autres bases. Depuis peu, le renouvellement de la carte d'identité est obligatoirement accompagné d'une numérisation des empreintes digitale Fou !
Tous les citoyens belges ont un numéro de registre national qui sert de clef d'identification dans quasiment toutes ces bases. Il est assez simple de le trouver : il est indiqué sur la carte d'identité, les vignettes mutuelles...

Dans l'ensemble, cela fait une méga base de données relationnelles.

En plus, ce numéro national a une structure assez simpliste basée en grande partie sur la date de naissance aammjj-nnn-cc, le tout expliqué sur Wikipédia ... une attaque en force brute sera assez rapide !

Un bête piratage peut aussi trouver (et divulguer) ces informations, comme de simples employés peuvent aussi facilement les trouver et sans parler de vol de portefeuilles et autres.

J'attends aussi un terrorisme à la bombe électromagnétique qui pourrait faire d'énormes dégâts !