倫敦市警方逮捕了七名疑似Lapsus$組織的成員。彭博社發(fā)表一篇報道聲稱一名居住在英格蘭牛津附近母親家中的十幾歲男孩，可能是Lapsus$組織的幕后策劃者。但警方目前尚未向媒體核實他們逮捕的這名牛津青少年，就是他們一直在找的犯罪嫌疑人本尊。

但是無論如何，由于被逮捕者是未成年人，透露其個人信息是非法的。根據(jù)安全記者Brian Krebs的說法，這名青少年17歲，而英國廣播公司則認(rèn)為他的年齡是16歲。但就目前所能獲得的信息而言，所有嫌疑人都很年輕。根據(jù)私家偵探Michael O’Sullivan的消息來源，倫敦市警方在給TechCrunch的聲明中聲稱此次逮捕的嫌疑人都介于16至21歲之間。倫敦警方一直在與其合作伙伴一起調(diào)查一個黑客組織的成員，并且在這次行動當(dāng)中有7名16至21歲的人被帶走協(xié)助調(diào)查，但也都已經(jīng)在調(diào)查后獲釋。倫敦警方的調(diào)查仍在繼續(xù)。

此外，調(diào)查人員告訴彭博社，Lapsus$組織的另外成員很可能居住在巴西，其具體人數(shù)尚不清楚，很可能還有更多。另一位調(diào)查員則告訴媒體，安全研究人員已經(jīng)鎖定了7個與Lapsus$組織相關(guān)的獨特帳戶，這就表明可能還有其他人參與了該集團(tuán)的運營。

忙碌的黑客童子軍

在過去的幾個月里，黑客組織Lapsus$將巴西衛(wèi)生部和游戲巨頭育碧公司作為他們網(wǎng)絡(luò)攻擊勒索的目標(biāo)，同時也攻擊了葡萄牙媒體公司Impresa。在最近幾周，更是接連攻擊了三星、英偉達(dá)、微軟和Okta等科技巨頭。

供職于Unit 221B的首席研究官Allison Nixon是持續(xù)跟蹤牛津青少年的研究人員之一。Allison Nixon表示，牛津青少年所使用的網(wǎng)絡(luò)昵稱通常包括“White”、“Breachbase”或“Oklaqq”等。甚至在Lapsus$組織成立之前，她就一直在與安全公司Palo Alto Networks的研究人員合作，跟蹤該組織的個人成員。Nixon告訴KrebsOnSecurity，她確信White/OklAGG是主要負(fù)責(zé)人，因為除其他外，該名人員也與Lapsus$集團(tuán)為公司內(nèi)部人士提供的招聘信息有關(guān)，這種招募方式有助他們滲透進(jìn)入目標(biāo)組織中。

Lapsus$組織對相關(guān)公司內(nèi)部員工的招聘廣告

Nixon告訴英國廣播公司，自去年下半年以來，研究人員就已經(jīng)開始關(guān)注這位牛津青少年的名字，甚至在他被黑客論壇Doxbin人肉搜索之前就已經(jīng)識別出他。Doxbin是一個人們可以發(fā)布或篩選數(shù)十萬人的個人數(shù)據(jù)以進(jìn)行人肉搜索目的的網(wǎng)站。據(jù)稱他購買了這些數(shù)據(jù)，但是作為這家論壇的運營者卻做的十分糟糕，備受用戶抱怨。最終這位牛津少年以極低的價格將論壇出售給其前所有者，然后轉(zhuǎn)身就泄露了整個Doxbin論壇的數(shù)據(jù)，導(dǎo)致Doxbin論壇對其進(jìn)行人肉搜索以示報復(fù)。這里面就包括了Krebs所報道的據(jù)稱是晚上在英國他家外拍攝的視頻，以及他的名字、地址和社交媒體圖片。

據(jù)英國廣播公司報道，Doxbin社區(qū)還發(fā)布了他黑客生涯的簡歷——這一職業(yè)讓他通過不合法的方式在短時間內(nèi)變得富有。Doxbin詞條也將他與Lapsus$組織聯(lián)系起來。據(jù)報道，該詞條內(nèi)容如下：

[他]慢慢開始通過網(wǎng)站存在的漏洞來賺錢。......幾年后，他的凈資產(chǎn)累計到300BTC以上(接近1400萬美元)。......[他]現(xiàn)在隸屬于一個名為“Lapsus$”的黑客組織，該組織一直在勒索和攻擊其他組織。

英國廣播公司援引Doxbin詞條的說法。

Nixon還透露，Unit 221B公司與Palo Alto合作，確定了網(wǎng)絡(luò)威脅襲擊者，然后在跟蹤調(diào)查了該名牛津少年在2021年所創(chuàng)下的“輝煌戰(zhàn)績”，并且他們也定期向執(zhí)法部門發(fā)送最新犯罪的提醒。她說研究人員通過查看帳戶的發(fā)帖歷史記錄和舊帖子所包含的聯(lián)系信息來跟蹤他。她也表示這位牛津少年因未能掩蓋自己的蹤跡而尋求獲得幫助。

離開我的代碼，你們這些該死的孩子

在攻擊了各家公司之后，Lapsus$組織在該集團(tuán)的Telegram頻道上發(fā)布了被盜源代碼，包括從微軟Azure DevOps服務(wù)器上所盜取的該公司Bing和Cortana產(chǎn)品的代碼。Lapsus$還發(fā)布了Okta的Slack頻道和Cloudflare界面的屏幕截圖。需要注意的是Cloudflare是數(shù)千家客戶公司使用Okta技術(shù)為其員工提供身份驗證的系統(tǒng)之一。今年2月，該組織還竊取了Nvidia公司的兩個代碼簽名證書。這些證書之后被用于對惡意軟件進(jìn)行簽名，使惡意程序能夠躍過Windows系統(tǒng)中安全保護(hù)措施。

不過上周末在對微軟和Okta進(jìn)行引發(fā)關(guān)注的網(wǎng)絡(luò)攻擊后，Lapsus$組織于周二宣布它將偃旗息鼓一段時間。該組織在其集團(tuán)的電報頻道寫道：我們的一些成員將休假到2022年3月30日，在此期間我們可能會安靜一段時間，感謝您理解我們。我們也會將盡快把東西泄露出去。

你為什么要這么做?

周四，Cybereason安全戰(zhàn)略總監(jiān)Ken Westin在一封電子郵件中告訴Threatpost，雖然許多人猜測Lapsus$組織是一個有組織的網(wǎng)絡(luò)犯罪集團(tuán)或潛在的民族國家分子，但是他們很難猜測到作為策劃者青少年的動機(jī)。無論這名青少年的動機(jī)被認(rèn)定為何，或許他患有自閉癥，或者其他的原因。Ken Westin認(rèn)為網(wǎng)絡(luò)安全界低估了年輕一代。他認(rèn)為網(wǎng)絡(luò)安全界忘記了如今的青少年在充斥著計算機(jī)的世界中長大，因此他們也可以獲得數(shù)量空前的編程資源和進(jìn)行網(wǎng)絡(luò)攻擊的教學(xué)資源。

根據(jù)他們的作案手法以及缺乏條理的工作方式，我們可以猜測出，這個團(tuán)體組織成員十分年輕，以致于他們對自己所取得的“成功”感到驚訝，并不知道后續(xù)該如何發(fā)展。在與該組織后續(xù)的一些溝通中也可以發(fā)現(xiàn)，他們似乎是出于宣揚他們的名聲的動機(jī)而非是出于獲得財務(wù)的目的來提升他們的能力、展現(xiàn)他們的成就，Westin補(bǔ)充道。當(dāng)然也會有一些人們所認(rèn)為的動機(jī)存在比如建立世界上最引人關(guān)注的科技公司、Doxbin詞條所聲稱的300BTC收入。這種動機(jī)也無可厚非，因為這些孩子是在疫情發(fā)生時期成長發(fā)育的。

Westin認(rèn)為，現(xiàn)如今青少年已經(jīng)看到了黑客通過犯罪行動能夠獲得極高的收入，對于他們而言在某些方面黑客就是他們所崇拜的搖滾明星。因為當(dāng)你將他們的經(jīng)歷與現(xiàn)實進(jìn)行比對我們并不應(yīng)該感到驚訝，因為疫情泛濫，他們這三年的時間大多是與網(wǎng)絡(luò)相聯(lián)系的。問題是，他們?nèi)匀惶幱趯κ澜绮粩嗾J(rèn)知的過程，對于是非對錯并沒有形成一個明確的判斷標(biāo)準(zhǔn)，他們無法準(zhǔn)確地將興趣與犯罪進(jìn)行區(qū)分。青少年進(jìn)行黑客攻擊我們其實司空見慣，但是對于其中具體個體而言這些行為會影響到他們今后的發(fā)展。

Westin還認(rèn)為，倫敦警方逮捕了這些青少年就會結(jié)束Lapsus$組織的這種說法為時尚早。這仍然可能是一則虛假的消息，錯誤的結(jié)案，甚至可能是栽贓陷害。當(dāng)然如果是這個16歲的英國人所組織的，我們可能會看到該組織活動的結(jié)束，除非他們的網(wǎng)絡(luò)犯罪合作伙伴在他們之后再次接管這一組織。

隱私安全預(yù)防公司BlackFog的創(chuàng)始人兼首席執(zhí)行官Darren Williams說，無論Lapsus$組織的背后組織者是犯罪團(tuán)伙還是來自牛津的青少年，最重要的是，這些組織顯然有能力滲透到世界上一些大型公司。他們網(wǎng)絡(luò)攻擊的速度之快，使得大型公司無法使用傳統(tǒng)的周邊防御工具來防止。

我們不能通過一刀切地手段來干涉青少年的成長。但是我們可以持續(xù)關(guān)注他們是如何攻擊目標(biāo)組織的。正如周四Williams在給Threatpost的一封電子郵件中指出，超過84%的網(wǎng)絡(luò)攻擊涉及數(shù)據(jù)泄露，其中就包括了暗網(wǎng)和和公共網(wǎng)站上的數(shù)據(jù)。

Williams建議：今后應(yīng)當(dāng)以反數(shù)據(jù)泄露作為安全工作的重點，進(jìn)而減少敲詐勒索的可能和由此產(chǎn)生的監(jiān)管罰款與報告，以及最終對企業(yè)失去信任的情況。

本文翻譯自：https://threatpost.com/uk-cops-collar-7-suspected-lapsus-gang-members/179098/。