最近，那個(gè)勒索英偉達(dá)的Lapsus$，又把微軟給黑了！

在過(guò)去幾個(gè)月里，Lapsus$可謂是聲名鵲起。

英偉達(dá)、三星、沃達(dá)豐、育碧等等都慘遭毒手。

而這里面最慘的，就屬英偉達(dá)了。

畢竟被放出源代碼，而且文件大小還高達(dá)75GB的，也僅此一家。

不過(guò)，距離「最后通牒」也已經(jīng)過(guò)了小半個(gè)月，卻不見(jiàn)Lapsus$有進(jìn)一步的動(dòng)作。

對(duì)于微軟這家商業(yè)軟件巨頭來(lái)說(shuō)，目前Lapsus$還尚未向提出任何要求。

微軟也難逃厄運(yùn)

周日清晨，Lapsus$在Telegram上發(fā)布了一張內(nèi)部源代碼庫(kù)的截圖，內(nèi)容似乎是從微軟云計(jì)算部門(mén)Azure的內(nèi)部開(kāi)發(fā)人員帳戶(hù)中黑進(jìn)去得到的信息。

圖中的Azure DevOps資源庫(kù)包含了Cortana和各種Bing項(xiàng)目的源代碼。

Lapsus$表示，Bing地圖的代碼已經(jīng)完成了90%的轉(zhuǎn)儲(chǔ)，Cortana和Bing的代碼完成了45%。

Bing_STC-SV：項(xiàng)目包含硅谷辦公室各種Bing工程項(xiàng)目的源代碼

Bing_Test_Agile：使用敏捷模板的Bing的測(cè)試項(xiàng)目

Bing_UX: Bing.com前臺(tái)（SNR）和其他相關(guān)的用戶(hù)體驗(yàn)代碼庫(kù)

BingCubator ：BingCubator團(tuán)隊(duì)

Bing-源代碼：用于存儲(chǔ)所有Bing源代碼的中心項(xiàng)目

Compliance_Engineering: WebXT合規(guī)工程團(tuán)隊(duì)項(xiàng)目

Cortana: 所有與Cortana相關(guān)的代碼和工作項(xiàng)目

奇怪的是，勒索團(tuán)伙在截圖中留下了登錄用戶(hù)的首字母「IS」。

這基本上就是直接為微軟指明了被攻擊的賬戶(hù)。

不知道是不是意識(shí)到了這一點(diǎn)，在發(fā)布截圖后不久，Lapsus$就把帖子撤了下來(lái)。

取而代之的是一條信息：「暫時(shí)刪除，以后再發(fā)?！?/p>

不過(guò)，首字母的暴露大概率也意味著Lapsus$不再有訪(fǎng)問(wèn)存儲(chǔ)庫(kù)的權(quán)限。

當(dāng)然，也不排除Lapsus$只是在單方面嘲弄微軟。

眾所周知，Lapsus$對(duì)以前的受害者也是如此。

雖然微軟沒(méi)有證實(shí)他們的Azure DevOps賬戶(hù)是否被攻破，但在回復(fù)媒體對(duì)此事采訪(fǎng)的電子郵件中稱(chēng)，「我們了解到這些說(shuō)法，并正在調(diào)查?！?/p>

不幸的是，Lapsus$有著「良好」的信用記錄，他們聲稱(chēng)對(duì)其他公司的攻擊后來(lái)被證實(shí)是真的。不信可以問(wèn)英偉達(dá)。

不過(guò)，安全公司Darktrace的全球威脅分析主管Toby Lewis則更為審慎：「除了內(nèi)部開(kāi)發(fā)人員儀表板的截圖之外，沒(méi)有任何進(jìn)一步的證據(jù)。雖然Lapsus$曾成功地入侵過(guò)大型機(jī)構(gòu)，但截圖為我們提供的信息非常少?！?/p>

代碼泄露，問(wèn)題不大

雖然源代碼的泄露會(huì)讓軟件中的漏洞更容易被發(fā)現(xiàn)，但微軟此前曾表示，他們的威脅模型假定威脅者已經(jīng)了解他們的軟件是如何工作的，無(wú)論是通過(guò)逆向工程解析還是以前的源代碼泄露，都不會(huì)造成風(fēng)險(xiǎn)的提升。

「在微軟，我們有開(kāi)發(fā)內(nèi)部源碼的獨(dú)特方式，通過(guò)類(lèi)似開(kāi)源界的文化、和從開(kāi)源界得來(lái)的最佳經(jīng)驗(yàn)，來(lái)開(kāi)發(fā)微軟內(nèi)部的源碼。這意味著我們不依靠源代碼的保密性來(lái)保證產(chǎn)品的安全，我們的威脅模型假定攻擊者對(duì)源代碼有了解?！刮④浽谝黄P(guān)于SolarWinds攻擊者獲得其源代碼的博文中解釋道，「所以查看源代碼并不與風(fēng)險(xiǎn)的提升掛鉤?！?/p>

不過(guò)，源代碼庫(kù)通常還包含訪(fǎng)問(wèn)令牌、憑證、API密鑰，甚至是代碼簽名證書(shū)。

當(dāng)Lapsus$攻破英偉達(dá)并發(fā)布他們的數(shù)據(jù)時(shí)，它還包括代碼簽名證書(shū)，其他威脅者很快就用它來(lái)簽署他們的惡意軟件。

而使用英偉達(dá)的代碼簽署證書(shū)則會(huì)導(dǎo)致反病毒引擎信任可執(zhí)行文件，而不將其檢測(cè)為惡意軟件。

對(duì)此，微軟曾表示，他們有一項(xiàng)開(kāi)發(fā)政策，禁止將API密鑰、憑證或訪(fǎng)問(wèn)令牌等「秘密」納入源代碼庫(kù)中。

即使是這樣，也不意味著源代碼中沒(méi)有包括其他有價(jià)值的數(shù)據(jù)，比如私人加密密鑰或其他專(zhuān)有工具等。

目前還不知道這些庫(kù)中包含了什么，但正如對(duì)以前的受害者所做的那樣，Lapsus$泄露被盜的數(shù)據(jù)只是時(shí)間問(wèn)題。

通過(guò)釣魚(yú)與直接買(mǎi)密碼攻擊目標(biāo)

與公眾之前了解的許多勒索集團(tuán)不同，Lapsus$并沒(méi)有在受害者的設(shè)備上部署勒索軟件。

相反，他們的目標(biāo)是大公司的源代碼庫(kù)，竊取他們的專(zhuān)有數(shù)據(jù)，然后試圖以數(shù)百萬(wàn)美元的價(jià)格將這些數(shù)據(jù)「賣(mài)」給受害公司。

據(jù)稱(chēng)Lapsus$正在四處招攬大型科技企業(yè)的內(nèi)線(xiàn)，讓這些內(nèi)部員工透露敏感信息。

3月10日在社交網(wǎng)站上寫(xiě)道，「我們?cè)谝韵鹿菊衅竼T工/內(nèi)部人員?。。。　?，該聲明隨后列出了它希望滲透的公司名單，其中包括蘋(píng)果、IBM 和微軟。

黑客組織在貼文中描述了要求叛變員工幫助訪(fǎng)問(wèn)目標(biāo)公司網(wǎng)絡(luò)的特定方式：

「請(qǐng)注意：我們不是在直接索取數(shù)據(jù)，我們正在尋找內(nèi)部員工來(lái)提供他們公司的內(nèi)網(wǎng)VPN或CITRIX的外網(wǎng)接口，或一些AnyDesk的遠(yuǎn)程登錄權(quán)限?！?/p>

據(jù)網(wǎng)絡(luò)安全企業(yè)的推斷，該黑客團(tuán)伙的攻擊方式除了這種直接購(gòu)買(mǎi)登陸密碼與接口外，就是經(jīng)典的釣魚(yú)攻擊、獲得目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)驗(yàn)證。

老辦法一般是久經(jīng)考驗(yàn)的好辦法，這些方式能讓攻擊者在目標(biāo)網(wǎng)絡(luò)中潛伏數(shù)周而不被發(fā)覺(jué)。

Lapsus$在黑客團(tuán)伙中的獨(dú)特之處，在于社交媒體建立形象并發(fā)聲。除了錢(qián)以外，該組織還想要名聲。

Lapsus$ 并不常對(duì)被攻破系統(tǒng)直接加密、進(jìn)行勒索軟件攻擊，而是威脅要泄露它已經(jīng)竊取的信息，除非受害者乖乖給錢(qián)。

該組織要錢(qián)的方式與要求時(shí)常變幻，應(yīng)該單純是為名利所驅(qū)動(dòng)，沒(méi)有政治動(dòng)機(jī)或國(guó)家級(jí)實(shí)體贊助者。

但就是這種貪得無(wú)厭死要錢(qián)的網(wǎng)絡(luò)劫匪最不會(huì)銷(xiāo)聲匿跡，網(wǎng)絡(luò)安全企業(yè)估計(jì)它們之后的攻擊會(huì)越發(fā)頻繁。

這個(gè)自稱(chēng)只受金錢(qián)驅(qū)使的黑客組織，在成功攻擊了巨頭英偉達(dá)和三星之后，獲得了自信并擴(kuò)大了野心。

16歲自閉癥男孩帶隊(duì)的團(tuán)伙？

Lapsus$在黑客界還算是一個(gè)「新人」。

2021年年底，Lapsus$的活動(dòng)被首次曝光，其目標(biāo)是巴西和葡萄牙的公司。

首先是巴西衛(wèi)生部、葡萄牙媒體公司Impresa、南美電信公司Claro和Embratel，以及葡萄牙議會(huì)等等。

不過(guò)，據(jù)網(wǎng)友透露，Lapsus$的活動(dòng)可能要追溯到2021年6月。

在地下論壇帖子中，一位用戶(hù)寫(xiě)道：「針對(duì)游戲巨頭EA的黑客攻擊，要?dú)w功于Lapsus$，更多的內(nèi)容會(huì)被泄露?！?/p>

之后，EA的游戲FIFA 21源代碼被公開(kāi)。

在2022年3月的育碧被黑事件中，Lapsus$也暗示自己是幕后的主使。

最近的網(wǎng)絡(luò)地下世界爭(zhēng)斗，更是為團(tuán)伙成員的隱秘身份揭開(kāi)了一角。

據(jù)稱(chēng)，該組織的頭目是一名居住在英國(guó)的16歲自閉癥少年男子。他在Dark web上的常用ID一般是SigmA、wh1te、Breachbase和Alexander Pavlov。

這是在ID為SigmA的用戶(hù)在購(gòu)買(mǎi)doxbin后回售給原網(wǎng)站擁有者不果后被曝出的。在交涉失敗后，有人爆料SigmA就是Lapsus$的頭目，并稱(chēng)其已被捕。

之后Lapsus$的社交網(wǎng)站頻道辟謠，稱(chēng)SigmA沒(méi)有被捕，如此證實(shí)了SigmA/Alexander Pavlov的確是Lapsus$首腦的推測(cè)。

網(wǎng)絡(luò)安全企業(yè)也發(fā)現(xiàn)，在SigmA擁有doxbin網(wǎng)站時(shí)，托管doxbin的子網(wǎng)與托管當(dāng)時(shí)Lapsus$主網(wǎng)站的子網(wǎng)是同一個(gè)。

這可真是后生可畏、前途無(wú)亮啊……

參考資料：

https://www.bleepingcomputer.com/news/security/microsoft-investigating-claims-of-hacked-source-code-repositories/

https://www.vice.com/en/article/y3vk9x/microsoft-hacked-lapsus-extortion-investigating

https://www.silentpush.com/blog/lapsus-group-an-emerging-dark-net-threat-actor

關(guān)鍵詞：