目前，微軟公司和Okta公司都在調(diào)查核實黑客組織Lapsus$早先宣稱破壞攻擊他們系統(tǒng)的說法是否真實。黑客組織Lapsus$聲稱自己獲得了訪問Okta公司內(nèi)部系統(tǒng)的“超級用戶/管理員”權限。并且還在Telegram頻道發(fā)布了近40GB的文件，其中包括了據(jù)說來源于微軟內(nèi)部項目以及系統(tǒng)的屏幕截圖和源代碼。這則令人震驚的消息最早由Vice和路透社報道。

Okta公司周二證實，該公司確實遭受了網(wǎng)絡黑客的攻擊，且一些用戶也受到了不同程度的影響。盡管此次網(wǎng)絡安全漏洞的范圍尚未明晰，但不容樂觀的是漏洞可能是巨大的。根據(jù)該公司的說法，他們正在為數(shù)億用戶提供網(wǎng)絡平臺服務，其中就包括了聯(lián)邦快遞、穆迪公司(債權評級機構)、T-Mobile公司(德國電信的子公司)、惠普公司和GrubHub公司(美國大型食品配送公司)等數(shù)千家大型公司的員工。

一位微軟公司的發(fā)言人告訴Threatpost，在公司內(nèi)部調(diào)查時發(fā)現(xiàn)一個具有訪問權限的公司賬戶被盜。微軟公司的網(wǎng)絡安全響應團隊正在迅速地對被盜賬戶進行補救，亡羊補牢，猶未為晚，以防止黑客組織利用該賬戶進行下一步的活動。該發(fā)言人同時表示他們并不將代碼的保密性作為唯一地網(wǎng)絡安全防范措施，查看源代碼的行為與公司內(nèi)的風險提升并無直接的聯(lián)系。微軟的威脅情報團隊在周二發(fā)布了一個博客，詳細介紹了其觀察Lapsus$的活動，微軟將其標記為DEV-0537。

“非常令人擔憂”

被泄露的Okta屏幕截圖內(nèi)容包括Okta公司Slack頻道以及其Cloudflare界面。Lapsus$組織在隨后的一條消息中表示，他們僅僅關注Okta的使用客戶。

獨立安全研究員Bill Demirkapi在推特上表示，屏幕截圖所泄露的內(nèi)容十分令人擔憂。LAPSUS$組織似乎已經(jīng)獲得了@Cloudflare租戶的訪問權限并能夠重置員工密碼。

Cloudflare公司在周二宣布，該公司不會拿員工的Okta授權權限進行冒險。Cloudflare公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Matthew Prince在推特上表示，他們出于謹慎行事才使用Okta系統(tǒng)對員工身份進行驗證。

出于謹慎，我們正在重置過去4個月中更改過員工密碼的@Okta憑據(jù)。我們絕對不會對網(wǎng)絡攻擊妥協(xié)。但是鑒于Okta公司僅僅是一家從事網(wǎng)絡安全驗證的公司，如果他們出現(xiàn)了問題，我們也會適時的評估替代他們的方案。

— Matthew Prince ?2022年3月22日

網(wǎng)絡安全漏洞時間之長令人擔憂

Demirkapi從泄露出的屏幕截圖發(fā)現(xiàn)了另一個可怕之處：即屏幕截圖的時間表明日期Lapsus$組織至少于2022年1月21日之前就進入安全系統(tǒng)內(nèi)部。Demirkapi表示如果日期正確，那就表明Okta公司至少有兩個月沒有公開承認其內(nèi)部存在任何違規(guī)行為。

屏幕截圖非常令人擔憂。在圖片中，LAPSUS$組織似乎已經(jīng)獲得了@Cloudflare租戶的訪問權限，并且能夠隨心所欲地重置員工密碼：pic.twitter.com/OZBMenuwgJ。

— Bill Demirkapi(@BillDemirkapi)2022年3月22日

如果這些日期屬實，就意味著Lapsus$組織已經(jīng)黑入Okta公司系統(tǒng)已經(jīng)長達數(shù)月之久，這也表明Lapsus$組織在被發(fā)現(xiàn)之前享受了短暫的狂歡。這無疑是事實。

本周二Okta首席執(zhí)行官Todd McKinnon在推特上表示：在2022年1月Okta公司發(fā)覺到一位為Okta的子處理器工作的第三方客戶支持工程師試圖妥協(xié)，但是此事已經(jīng)由子公司調(diào)查并處理了。Okta公司認為，網(wǎng)絡中流出的Lapsus$屏幕截圖與1月份的事件有關。Okta首席執(zhí)行官表示：根據(jù)他們迄今為止的調(diào)查，除了1月份發(fā)現(xiàn)的活動與Lapsus$組織有關，并沒有其他證據(jù)表明存在持續(xù)的惡意活動。

我們認為，在線共享的屏幕截圖與今年1月份的活動有關。根據(jù)我們迄今為止的調(diào)查，除了1月份發(fā)現(xiàn)的活動外，沒有證據(jù)表明存在持續(xù)的惡意活動。

— Todd McKinnon(@toddmckinnon)2022年3月22日

內(nèi)部員工參與了嗎？

如果上述的日期準確，那么就意味著Lapsus$在3月10日在其電報頻道上發(fā)布需要幫助的通知很可能成功獲得了響應的。該組織發(fā)帖聲稱，它希望能夠招募一些公司內(nèi)部人士來幫助其開展他骯臟的工作。這些公司就有微軟公司以及一些其他的大型軟件、游戲公司包括蘋果公司、IBM公司、EA、一些電信公司包括Telefonica(西班牙電話公司)、ATT(美國電話電報公司)等。

Lapsus$組織3月10日的電報帖子：

我們正在招聘以下員工/內(nèi)部人員!!!!注意：我們不是在尋找數(shù)據(jù)，我們正在尋找可以為我們提供VPN或CITRIX接入內(nèi)部系統(tǒng)的內(nèi)部人員?！斑@也就意味著網(wǎng)絡犯罪分子可以在內(nèi)部人士的幫助下滲透進入目標網(wǎng)絡。

關于必應、必應地圖、Cortana被盜的數(shù)據(jù)

周一，Lapsus$組織開始分發(fā)10GB的壓縮檔案，這其中據(jù)稱包含了微軟必應搜索引擎、必應地圖的內(nèi)部數(shù)據(jù)以及該公司語音助理軟件Cortana的源代碼。

泄露的數(shù)據(jù)日期為2022年3月20日。

“Bing地圖是90%的完整轉(zhuǎn)儲。Bing和Cortana約為45%，”Lapsus$在其電報頻道上寫道。

微軟公司承認了這些說法，并表示正在竭盡全力進行調(diào)查。

Lapsus$組織調(diào)侃了Okta公司的索賠聲明

周二，Okta公司首席安全官Davis Bradbury在一份更新的聲明中提出了對于Lapsus$組織的索賠，但是在幾個小時內(nèi)該份聲明就遭到了調(diào)侃。Demirkapi在推特上發(fā)布了Lapsus$組織的回擊：

LAPSUS$勒索軟件集團對Okta的聲明做出了以下回應。pic.twitter.com/D6KYQjnKPU

— Bill Demirkapi(@BillDemirkapi)2022年3月22日

除此之外，Lapsus$組織還調(diào)侃了Bradbury關于該組織在1月份試圖破壞工程師筆記本電腦的描述，Lapsus$組織聲稱該名工程師并沒有提供有效的信息。該團伙還嘲笑Bradbury關于他們在1月份訪問工程師帳戶的嘗試沒有成功的說法?！拔覀?nèi)匀徊淮_定這怎么會失敗?我們成功登錄了超級用戶門戶網(wǎng)站，并且能夠重置密碼和登錄約95%客戶的MFA，這難道不成功？”Lapsus$組織還表示，Okta公司所宣稱的相關攻擊僅導致有限潛在影響的說法是錯誤的。他們能夠確信重置密碼和MFA將導致許多客戶端系統(tǒng)完全受損。在這篇文章發(fā)布時，Okta公司尚未回應Threatpost對Lapsus$索賠發(fā)表評論的請求。

Lapsus$組織發(fā)動了更多的攻擊

相關信息顯示Lapsus$集團發(fā)動了越來越多的高調(diào)攻擊。在去年12月，它襲擊了巴西衛(wèi)生部，推翻了數(shù)個在線實體，成功刪除了巴西公民新冠肺炎疫苗接種數(shù)據(jù)的信息，并破壞了簽發(fā)數(shù)字疫苗接種證書的系統(tǒng)。最近，Lapsus$削弱了葡萄牙媒體巨頭Impresa;攻擊英偉達，使用代碼簽名證書以用于簽署惡意軟件，從而使惡意程序能夠躍過Windows系統(tǒng)內(nèi)部的安全保護措施;以及他們宣傳從三星竊取的大量專有源代碼;攻擊了刺客信條電子游戲開發(fā)商育碧公司。據(jù)《安全周刊》報道，周一，該組織還聲稱攻擊了電子巨頭LGE。

Lapsus$是一張萬用牌

供職于網(wǎng)絡安全公司GuidePoint Security的防勒索軟件專家兼首席威脅情報分析師Drew Schmitt，其依靠多年與勒索軟件談判和威脅情報工作的經(jīng)驗，與該組織能夠直接進行交流互動。

他在周二告訴Threatpost，該組織是一張萬用牌(萬用牌：撲克牌游戲的轉(zhuǎn)用術語，先指不可事先預知，但是又能在何時時機發(fā)揮重要影響)。因為黑客組織不會出于勒索目的對文件或數(shù)據(jù)進行加密，而是利用泄露敏感數(shù)據(jù)來將其用于主要勒索工作。他認為，勒索目的的不同使Lapsus$組織與來自Conti、Lockbit等團體使用的傳統(tǒng)勒索軟件方法相區(qū)分。同時他也指出Lapsus$組織與傳統(tǒng)勒索軟件組織的另一個不同之處在于，他們使用Telegram進行通信和敲詐勒索，而不是使用TOR服務托管的網(wǎng)站泄漏信息。

此外，他還認為，根據(jù)3月11日該組織針對內(nèi)部人士的招募信息可以發(fā)現(xiàn)他們對于目標的初始訪問方式是非正統(tǒng)的。Schmitt認為，Lapsus$組織顯然是獨立運作的，與其他網(wǎng)絡犯罪/勒索軟件辛迪加或民族國家贊助無關。當然隨著對于該組織的分析，上述的判斷可能會發(fā)生改變。由于這個群體在過去幾周中聲名狼藉，Schmitt以及他的同事可能會通過新的情報來表明該組織與其他已知群體、辛迪加有所關聯(lián)。

Schmitt說，Lapsus$正在改變勒索軟件的游戲方式。他們沒有采用傳統(tǒng)的初始訪問方法，遠離文件加密等手段，并偏離傳統(tǒng)的泄漏網(wǎng)站基礎方法。他預測這些變化可以被更傳統(tǒng)的勒索軟件團體所借鑒采納。

他們的目的不僅于此

據(jù)安全專家稱，Lapsus$組織對Okta的舉動清楚地表明他們的目的不僅僅停留在勒索的目的。前政府安全分析師、第三方風險管理公司CyberGRX的現(xiàn)任首席信息安全官 Dave Stapleton認為，Lapsus$組織希望提高其知名度——最好能夠招聘到大型科技公司內(nèi)部愿意出售遠程訪問的人士。他于周二告訴Threatpost，另一次影響深遠的供應鏈攻擊也可能是由其發(fā)動。

Stapleton通過接受電子郵件采訪時認為：雖然目前細節(jié)很少，但很明顯，這位攻擊者正在努力打出自己的旗幟，以便繼續(xù)提高他們的知名度和地位，這將有利于他們招聘到愿意出售主要技術公司和ISP遠程訪問的內(nèi)部人士。通過他們對Okta的最新活動可以發(fā)現(xiàn)Lapsus$集團本質(zhì)上是在向潛在新人宣傳他們的運作方式。

鑒于Okta公司是世界各地組織的重要身份提供商，Stapleton擔心這是對于豐田等公司生產(chǎn)供應鏈攻擊的組成部分。他相信Okta的客戶會對此事件進行密切關注。這次影響深遠的供應鏈攻擊的威脅當然引起了我的注意。

Breakwater Solutions的董事總經(jīng)理Kevin Novak認為Okta后臺漏洞的范圍可能極為有限。否則鑒于Okta龐大的客戶群，他們現(xiàn)在應該已經(jīng)知道了事情的發(fā)生。他說：“雖然有些人猜測這次黑客組織的成功攻擊是否使得人們發(fā)現(xiàn)了Okta后臺存在的漏洞，但到目前為止，Okta后臺的全面妥協(xié)似乎已經(jīng)變得更加明顯，但在未來幾個月內(nèi)，我們也會持續(xù)關注?！?/p>

Novak指出：“如果Okta的妥協(xié)會導致Lapsus$等組織對于客戶信息的攻擊，比如泄露客戶憑證、關鍵材料或與可能導致客戶妥協(xié)的環(huán)境相關的源代碼，那么Okta可能會因為缺乏對事件的充分了解、未能及時通知而受到該領域的更大審查?！?/p>

我們該如何應對

顯然到目前為止Okta漏洞未能得到及時彌補。但盡管如此，我們的公司現(xiàn)在可以采取一些措施來保護其員工和網(wǎng)絡。Expel全球運營總監(jiān)Jon Hencinski告訴Threatpost，立即采取的預防措施包括生成具有特權的Okta密碼和Okta令牌，以及審查Okta過去四個月的管理員身份驗證和活動。

他提供了以下其他提示：

• 更改審查配置以確保它們與預期行動和來源保持一致。
• 審查管理員身份驗證信息并確保它們來源于數(shù)據(jù)源用戶。
• 找出在同一時期內(nèi)被MFA禁用的Okta賬戶，并確定此類用戶被禁用的根本原因，然后再為這些帳戶重新啟用MFA。
• 在審查的過程中，及時地與利益相關者坦誠地溝通您正在做的事情和已經(jīng)做的事情。
• 同時這也是一個測試事件響應計劃(IRP)的機會。如果您沒有IRP，請創(chuàng)建一個，然后重復地測試它。

“機會永遠是留給有準備的人，”Hencinski補充道。

來源：https://threatpost.com/lapsus-data-kidnappers-claim-snatches-from-microsoft-okta/179041/