Хакерская группировка Lapsus$ утверждает, что слила исходный код Bing, Cortana и других проектов, украденный с внутреннего сервера Azure DevOps компании Microsoft.
Утром в воскресенье хакеры Lapsus$ опубликовали в своем Telegram-канале скриншот, указывающий на то, что они взломали сервер Azure DevOps компании Microsoft, содержащий исходный код Bing, Cortana и других внутренних проектов.
В понедельник вечером Lapsus$ выложили на торрент архив файлов размером 9 ГБ, который содержит исходный код более 250 проектов, принадлежащих компании Microsoft.
Выкладывая торрент, Lapsus$ заявили, что он содержит 90% исходного кода Bing и около 45% кода Bing Maps и Cortana.
Несмотря на то, что, по их словам, произошла утечка только части исходного кода, BleepingComputer сообщает, что несжатый архив содержит около 37 ГБ исходного кода, предположительно принадлежащего Microsoft.
Исследователи безопасности, изучившие слитые файлы, сообщили, что они очень похожи на настоящий внутренний исходный код Microsoft.
Более того, некоторые из просочившихся проектов содержат электронные письма и документацию, которые явно использовались инженерами Microsoft для внутренней переписки и не предназначены широкому кругу читателей.
Выложенный в сеть исходный код, судя по всему, относиться к веб-инфраструктуре, веб-сайтам или мобильным приложениям, при этом файлы настольного программного обеспечения Microsoft, включая Windows, Windows Server и Microsoft Office, не были опубликованы.
В настоящий момент в Microsoft проводят расследование утечки файлов.
Lapsus$ сливает данные направо и налево
Lapsus$ - это хакерская группа, занимающаяся кражей данных, за которые они после требую выкуп, шантажируя жертв публикацией украденного в Сети.
За последние несколько месяцев Lapsus$ совершила множество кибератак на крупные компании - NVIDIA, Samsung, Vodafone, Ubisoft и Mercado Libre.
До сих пор большинство атак было направлено на репозитории исходного кода, что позволяло хакерам похищать ценные конфиденциальные данные, например такие как технология lite hash rate (LHR) от NVIDIA, которая позволяет видеокартам снижать мощность GPU для майнинга.
Неизвестно, как злоумышленники проникают в эти хранилища, но некоторые специалисты по безопасности считают - доступ к внутренним репохиториям хакеры получают за плату корпоративным инсайдерам, предоставляющим доступ в "святая святых" компаний
"С моей точки зрения, они продолжают получать доступ, используя корпоративных инсайдеров. Эта теория не является надуманной, так как Lapsus$ ранее заявляли, что они готовы покупать доступ к сетям у сотрудников"
- Том Малка, аналитик компании по кибербезопасности.
Однако у хакеров из Lapsus$ есть и другие способы проникновения в хранилища компаний. Скриншоты доступа к внутренним сайтам Okta, которая является аутентификационной "платформой №1" (так позиционирует себя компания на рынке идентификационных услуг), позволяет злоумышленникам использовать Okta как "ключ" для доступа в репозитории корпораций через их пользователей.
Что касается Lapsus$, то они приобрели большую популярность в Telegram, имея более 33 000 подписчиков на своем основном канале и более 8 000 участников в чате.
Группа вымогателей использует свои активные каналы в Telegram для объявления о новых утечках, атаках и общения со своими поклонниками, и, похоже, им нравится эта известность.
После закрытия форума RaidForums, основными темами которого были топики об утечке данных, можно предположить, что многие завсегдатаи этого сайта теперь общаются в Telegram-каналах Lapsus$.
И, да, Lapsus$, скорее всего, не остановятся на этом. И мы все будем наблюдать как хакеры из этой группировки выкладывают в сеть гигабайты слитых данных, бахвалясь перед своими фанатами.