Пристальный взгляд на группу вымогателей данных LAPSUS$
Microsoft и платформа управления идентификацией Okta на этой неделе раскрыли информацию об утечках, связанных с LAPSUS$, относительно новой киберпреступной группой, которая специализируется на краже данных крупных компаний и угрожает опубликовать их, если не будет выплачен выкуп. В этой статье представлен подробный обзор LAPSUS$ и некоторых низкотехнологичных, но высокоэффективных методов, которые группа использует для получения доступа к целевым организациям.
Впервые появившись в декабре 2021 года с требованием выкупа у Министерства здравоохранения Бразилии, LAPSUS$ недавно стала известна благодаря размещению скриншотов внутренних инструментов ряда крупных корпораций, включая NVIDIA, Samsung и Vodafone.
Во вторник, 22 марта 2022 года, LAPSUS$ объявила через свой Telegram-канал, что выкладывает в свободный доступ исходный код, украденный у Microsoft. В этот же день в своем блоге компания Microsoft заявила, что прервала загрузку исходного кода группой LAPSUS$ до того, как она успела ее завершить, и что компании удалось предотвратить слив, поскольку LAPSUS$ публично обсудила свой незаконный доступ на своем канале Telegram до того, как загрузка успела завершиться.
"Это публичное раскрытие привело к эскалации наших действий, что позволило команде наших специалистов по безопасности вмешаться и прервать действия хакеров в середине операции, предотвратив утечку данных. Никакой код или данные клиентов не были скомпрометированы. Дальнейшее расследование показало, что только одна учетная запись, имеющая ограниченный доступ, подверглась атаке. Компания Microsoft не полагается на секретность кода в качестве меры безопасности, и просмотр исходного кода не приводит к повышению риска".
- Microsoft
Наверное зря компания Microsoft хорохориться и выставляет в своем блоге банду LAPSUS$ как незрелую и жаждущую славы группу. Потому что тактика, с которой хакеры действуют в Сети, должна заставить всех, кто отвечает за корпоративную безопасность, задуматься и обратить серьезное внимание на усиление защиты.
Microsoft утверждает, что LAPSUS$ - которую она скучно называет "DEV-0537" - в основном получает незаконный доступ к объектам с помощью "социальной инженерии". Это подразумевает подкуп или обман сотрудников целевой организации или ее многочисленных партнеров, таких как колл-центры поддержки клиентов и справочные службы.
"Microsoft обнаружила случаи, когда группа успешно получала доступ к целевым организациям через завербованных сотрудников (или сотрудников их поставщиков или деловых партнеров)", - пишет Microsoft.
В сообщении говорится следующее:
"DEV-0537 рекламировала, что хочет купить учетные данные для своих целей, чтобы заманить сотрудников или подрядчиков принять участие в ее операции. За определенную плату добровольный сообщник должен предоставить свои учетные данные и одобрить приглашение MFA или заставить пользователя установить AnyDesk или другое программное обеспечение для удаленного управления на корпоративной рабочей станции, позволяющее агенту взять под контроль аутентифицированную систему. Такая тактика была лишь одним из способов, с помощью которых DEV-0537 использовали преимущества доступа к безопасности и деловых отношений, которые их целевые организации имеют с поставщиками услуг и цепочками поставок."
Канал LAPSUS$ в Telegram насчитывает более 45 000 подписчиков, и Microsoft указывает на объявление, которое LAPSUS$ разместила там, предлагая набрать инсайдеров в крупных провайдерах мобильных телефонов, крупных компаниях, занимающихся разработкой программного обеспечения и игр, хостинговых фирмах и колл-центрах.
Исследователи заметили, что часто LAPSUS$ вербует инсайдеров через различные социальные сети, по крайней мере, с ноября 2021 года. Один из основных членов LAPSUS$, использовавший ники "Oklaqq" и "WhiteDoxbin", в прошлом году разместил на Reddit сообщения о вербовке, предлагая сотрудникам AT&T, T-Mobile и Verizon до 20 000 долларов в неделю за выполнение "определенной работы".
Многие объявления LAPSUS$ о вербовке написаны на английском и португальском языках. По данным киберразведки Flashpoint, большинство жертв группы (15 человек) находятся в Латинской Америке и Португалии.
"В настоящее время LAPSUS$ не имеет ни постоянного сайта в сети clearnet или darknet, ни традиционных аккаунтов в социальных сетях - она действует исключительно через Telegram и электронную почту", - пишет Flashpoint в своем анализе группировки. LAPSUS$ представляется весьма изощренной, осуществляющей все более громкие утечки данных. Группа заявила, что она не спонсируется государством. Лица, стоящие за группой, вероятно, имеют большой опыт и продемонстрировали глубокие технические знания и способности".
Microsoft заявила, что LAPSUS$ нацеливается на личные почтовые ящики сотрудников организаций, которые они хотят взломать, зная, что большинство сотрудников часто работают удаленно и подключаются к рабочим местам, используя, менее защищенную, домашнюю сеть.
"В некоторых случаях [LAPSUS$] сначала нацеливались на личные или частные (не связанные с работой) аккаунты человека и взламывали их, чтобы затем искать дополнительные учетные данные, которые можно использовать для получения доступа к корпоративным системам", - пишет Microsoft. "Учитывая, что сотрудники обычно используют эти личные учетные записи или номера в качестве второго фактора аутентификации или восстановления пароля, группа часто использовала этот доступ для сброса паролей и выполнения действий по восстановлению учетных записей".
В других случаях, по словам Microsoft, LAPSUS$ звонили в службу поддержки целевой организации и пытались убедить сотрудников службы поддержки сбросить данные привилегированной учетной записи.
"Хакеры тщательно изучали 'жертву', ее образ жизни, родной язык, чтобы затем, используя социальную инженерию, через службу поддержки взламываемой компании, получить данные для входа в систему", - пояснили в Microsoft. "Наблюдаемые действия включали ответы DEV-0537 на обычные запросы восстановления, такие как "первая улица, на которой вы жили" или "девичья фамилия матери", чтобы убедить сотрудников службы поддержки в подлинности".
Замена сим-карт в обход систем безопасности
Microsoft заявила, что LAPSUS$ также использовал "подмену SIM" для получения доступа к ключевым учетным записям в целевых организациях. При мошеннической замене SIM-карты злоумышленники подкупают или обманывают сотрудников компаний мобильной связи, чтобы те перенесли номер мобильного телефона жертвы на их устройство. Оттуда злоумышленники могут перехватить все одноразовые пароли, отправленные жертве через SMS или телефонный звонок. Затем они могут сбросить пароль для любой учетной записи в Интернете, которая позволяет сбросить пароль, с помощью ссылки, отправленной по SMS.
"Их тактика включает в себя социальную инженерию с использованием телефона; замену SIM-карт для облегчения захвата учетной записи; доступ к личным учетным записям электронной почты сотрудников целевых организаций; оплату сотрудникам, поставщикам или деловым партнерам целевых организаций за доступ к учетным данным и одобрение многофакторной аутентификации (MFA); а также вторжение в текущие кризисные коммуникационные звонки своих целей", - пишет Microsoft.
Элисон Никсон - главный научный сотрудник Unit 221B, консалтинговой компании по кибербезопасности, базирующейся в Нью-Йорке, которая внимательно следит за киберпреступниками, занимающимися подменой SIM-карт. Работая с исследователями из компании Palo Alto Networks, Никсон отслеживала отдельных членов LAPSUS$ до того, как они создали группу, и говорит, что методы социальной инженерии, принятые группой, уже давно используются для атак на сотрудников и подрядчиков, работающих в крупных компаниях мобильной связи.
"LAPSUS$, возможно, первой сделала очевидным для всего остального мира, что существует множество "легких целей", которые не являются телекоммуникационными компаниями", - сказал Никсон. "В мире полно целей, которые не привыкли, чтобы их атаковали таким образом".
В Microsoft говорят, что LAPSUS$ также получали доступ к организациям-жертвам путем развертывания вредоносной программы Redline для кражи паролей, поиска открытых репозиториев кода в поисках паролей, а также покупки учетных данных и маркеров сеансов на криминальных форумах.
Последнее замечание интересно, потому что, по словам Никсон, похоже, что по крайней мере один из членов LAPSUS$ также был причастен к вторжению в компанию Electronic Arts (EA) в прошлом году, где вымогатели требовали выкуп в обмен на обещание не публиковать 780 Гб исходного кода. В интервью Motherboard хакеры заявили, что получили доступ к данным EA после покупки аутентификационных файлов cookie для канала EA Slack в даркмаркете под названием Genesis.
"По словам хакеров, они использовали файлы аутентификации, чтобы имитировать учетную запись уже вошедшего в систему сотрудника EA и получить доступ к каналу EA Slack, а затем обмануть сотрудника IT-поддержки EA, чтобы тот предоставил им доступ к внутренней сети компании",
- Каталин Чимпану, The Record.
Почему Никсон убеждена, что за атакой на EA стоит LAPSUS$? Личность "WhiteDoxbin/Oklaqq", указанная на первом скриншоте выше, посвященном вербовке инсайдеров, похоже, является лидером группы, и она использовала несколько псевдонимов во многих каналах Telegram. Однако Telegram объединяет все псевдонимы учетной записи в один номер Telegram ID.
Еще в мае 2021 года Telegram ID WhiteDoxbin был использован при создания аккаунта для проведения распределенных атак типа "отказ в обслуживании" (DDoS), где он представился как "@breachbase". Новость о взломе EA в прошлом году была впервые опубликована в Даркнете пользователем "Breachbase" на англоязычном хакерском форуме RaidForums (недавно арестовано ФБР).
Кто же такие LAPSUS$?
Никсон сказала, что WhiteDoxbin - явный главарь LAPSUS$ - это тот же человек, который в прошлом году приобрел Doxbin, давно работающий web-сайт, на котором любой может разместить личную информацию своей цели или найти данные сотен тысяч тех, кто уже был "доксирован" (опознан, скомпрометирован).
По всей видимости, новый владелец так и не смог обеспечить нормальную, бесперебойную работу сайта. И поэтому главные участники веб-сайта Doxbin прямо сообщили WhiteDoxbin, что они недовольны тем, как он организовал работу веб-ресурса.
"Он не был хорошим администратором и не мог поддерживать сайт в рабочем состоянии", - сказала Никсон. "Сообщество Doxbin было очень расстроено, поэтому они начали его постоянно преследовать".
Никсон сказала, что в январе 2022 года WhiteDoxbin неохотно согласился отказаться от контроля над сайтом Doxbin, продав форум предыдущему владельцу, при этом значительно потеряв в деньгах. Однако незадолго до передачи форума WhiteDoxbin слил всю базу данных Doxbin (включая приватные доксы, которые так и остались неопубликованными на сайте в виде черновиков) в открытый доступ к ней через Telegram.
Сообщество Doxbin жестко и яростно отреагировало на такой демарш, разместив на хакера WhiteDoxbin, возможно, самый, тщательно собранный, "докс", который когда-либо создавался сообществом, включая видео, якобы снятое ночью возле его дома в Великобритании.
По словам участников Doxbin, WhiteDoxbin начал свою деятельность с покупки и продажи уязвимостей нулевого дня - дефектов безопасности в популярном программном и аппаратном обеспечении, о которых еще не знают даже производители этих продуктов.
"[Он] постепенно начал зарабатывать деньги для дальнейшего расширения своей коллекции эксплойтов", - говорится в его записи на Doxbin. "Через несколько лет его чистый капитал превысил 300BTC (около $14 млн)".
Личность WhiteDoxbin's Breachbase на RaidForums в 2020 году заявила, что у нее есть бюджет в $1 млн в биткоинах, на который можно купить уязвимости нулевого дня в Github, Gitlab, Twitter, Snapchat, Cisco VPN, Pulse VPN и других инструментах удаленного доступа или совместной работы.
"Мой бюджет составляет $100000 в BTC", - сказал Breachbase в интервью Raidforums в октябре 2020 года. Человек, который направит меня к кому-то, получит $10000 BTC". Ответьте в тему, если вы знаете кого-либо или где-либо, кто продает эти вещи. ПРИМЕЧАНИЕ: 0day должен иметь высокое/критическое воздействие".
KrebsOnSecurity не публикует предполагаемое настоящее имя WhiteDoxbin, поскольку он несовершеннолетний (в настоящее время ему 17 лет), и поскольку этот человек не был официально обвинен в преступлении. Кроме того, в записи Doxbin на этого человека содержится личная информация о членах его семьи.
Никсон сказала, что до создания LAPSUS$, WhiteDoxbin был одним из основателей киберпреступной группы, называющей себя "Recursion Team". Согласно сайту этой группы, ныне не существующей, они в основном специализировались на обмене SIM-картами интересующих их целей и участии в атаках типа "swatting", когда поддельные угрозы взрыва, ситуации с заложниками и другие насильственные сценарии сообщаются полиции по телефону как часть схемы, чтобы обманом заставить их применить потенциально опасную для жизни силу по адресу цели.
"Команда состоит из кибер-энтузиастов, которые специализируются на таких навыках, как проникновение в систему безопасности, разработка программного обеспечения и боттинг", - говорится на ныне несуществующем сайте Recursion Team. "Мы планируем светлое будущее и надеемся, что вы тоже!".
