Hakerzy zaatakowali Microsoft. Ta grupa kradnie od największych
Grupa hackerska Lapsus$ z powodzeniem włamała się na serwery Microsoftu. Złodzieje stają się coraz bardziej zuchwali. Wcześniej ukradli dane Samsungowi, Nvidii, Vodafone, Ubisoftu i Okty.
Lapsus$ już wczoraj sugerował, że udało mu się złamać zabezpieczenia wewnętrznej sieci Microsoftu i ukraść dane związane z jego produktami. Deklaracje te poddawano w wątpliwość, mimo wcześniejszych sukcesów grupy - kanał na Telegramie, gdzie Lapsus$ chwalił się włamaniem, został wyczyszczony z informacji na ten temat przez jego administratora, a sama grupa szybko przestała się chwalić swoim hackiem. Jednak jak wynika ze śledztwa Microsoftu, to nie był blef. Znaczna część kodu źródłowego usług Cortana, Bing i Bing Maps jest w rękach przestępców.
Czytaj też:
Jak informuje Microsoft, do metod stosowanych przez Lapsus$ należą oszukiwanie pracowników i klonowanie ich kart SIM, dzięki czemu łatwiej im pokonać mechanizmy dwuetapowego uwierzytelniania użytkownika. Posiłkują się też oprogramowaniem do wykradania haseł, skanerami otwartoźródłowego kodu pozwalającymi na wykrycie przypadkowo pozostawionych w nim danych logowania oraz kupowaniem skradzionych loginów i haseł na forach dla cyberprzestępców.
Jak doszło do włamania na chmurę Microsoftu?
Po uzyskaniu wstępnego dostępu do wewnętrznej sieci firmowej, Lapsus$ wykorzystał aplikację AD Explorer do wylistowania wszystkich zespołów wewnątrz firmy. Następnie grupa przeskanowała działające wewnątrz sieci usługi do pracy zespołowej - Slack, SharePoint, Teams, GitLab, Jira i Confluence - by wiedzieć, gdzie dokładnie szukać poufnych informacji.
Kolejny etap ataku polegał na wykorzystaniu luk w zabezpieczeniach tych usług w połączeniu z atakiem określanym jako inżynieria społeczna. Wykorzystując część danych jeden z hakerów zadzwonił pod helpdesk i posługując się nienaganną angielszczyzną bez żadnego obcego akcentu podał się za pracownika firmy, potwierdzając swoją tożsamość za pomocą wykradzionych danych - w tym podając panieńskie imię matki pracownika, pod którego się podszywał i ulicę, na której się wychowywał.
Microsoft twierdzi, że w rękach przestępców nie znalazły się żadne związane z klientami dane. Firma twierdzi też, że kradzież nie wpłynie na działanie czy bezpieczeństwo wspomnianych usług.
- Według naszego śledztwa włamano się na pojedyncze konto z ograniczonymi prawami dostępu. Nasz zespół ds. cyberbezpieczeństwa zareagował szybkim zablokowaniem konta, uniemożliwiając jego dalszą aktywność. Microsoft nie wykorzystuje niejawności kodu źródłowego jako czynnika zwiększającego bezpieczeństwa. Wgląd w ów kod przez osoby postronne nie zwiększa ryzyka naruszenia bezpieczeństwa usług - jak można przeczytać w oświadczeniu firmy.
Microsoft opublikował na swoim blogu rekomendacje dla firm, które chcą uniknąć tego rodzaju ataków na przyszłość, samodzielnie też wyciągając stosowne wnioski. Należą do nich wzmocnienie mechanizmów 2FA, lepsze zabezpieczenia dla usług VPN i edukacja pracowników na temat inżynierii społecznej.
