Обновлено: 23.03.2022. Компания Microsoft подтвердила, что один из сотрудников был скомпрометирован хакерской группой Lapsus$, что позволило злоумышленникам получить доступ и украсть некоторые объемы исходного кода.
Рано утром в воскресенье группировка Lapsus$ опубликовала в своем Telegram-канале скриншот, подтверждающий взлом сервера Microsoft Azure DevOps, содержащий исходный код Bing, Cortana и различных внутренних проектов.
Вечером в понедельник группа хакеров выложила на торрент 9-гигабайтный архив 7zip, содержащий дамп исходников более 250 проектов, которые, по их словам, принадлежат Microsoft.
В описании торрента Lapsus$ указывает, что архив содержит 90% исходного кода Bing и примерно 45% кода Bing Maps и Cortana.
Хотя злоумышленники отмечают, что им удалось перехватить только часть исходного кода, порталу BleepingComputer они сообщили, что несжатый архив содержит примерно 37 ГБ исходного кода, предположительно принадлежащего Microsoft.
Исследователи безопасности, изучившие просочившиеся файлы, подтвердили, что они содержат легитимный исходный код продуктов Microsoft. Судя по всему, речь идет о проектах для веб-инфраструктуры, веб-сайтов или мобильных приложений, при этом исходный код ПО Microsoft для настольных компьютеров, включая Windows, Windows Server и Microsoft Office, не был украден.
На официальном уровне Microsoft заявляет, что проводит собственное расследование и не дает никаких дополнительных комментариев.
Богатый послужной список Lapsus$
Lapsus$ — это хакерская группировка, которая взламывает корпоративные системы для кражи исходного кода, списков клиентов, баз данных и других ценных данных. Затем они пытаются вымогать у атакованных компаний выкуп, чтобы не раскрывать данные публично.
За последние несколько месяцев группа Lapsus$ провела многочисленные кибератаки на крупные компании, включая подтвержденные атаки на NVIDIA, Samsung, Vodafone, Ubisoft и Mercado Libre.
До сих пор большинство атак были нацелены на репозитории исходного кода, что позволяло злоумышленникам красть конфиденциальные, проприетарные данные, такие как технология NVIDIA Lite Hash Rate (LHR), которая позволяет видеокартам снижать мощность майнинга графического процессора.
Неизвестно, как злоумышленники взламывают эти репозитории, но некоторые исследователи безопасности считают, что они платят корпоративным инсайдерам за доступ.
Исследователь безопасности Том Малка поделился своим мнением на этот счет:
С моей точки зрения, они продолжают получать доступ к корпоративным сетям с помощью инсайдеров.
Эта теория небезосновательная, так как ранее Lapsus$ заявляла, что готова покупать доступ к сетям у сотрудников компаний.
Lapsus$ опубликовала скриншоты своего доступа к тому, что они называют внутренними веб-сайтами Okta. Okta является платформой для аутентификации и управления идентификацией, поэтому если Lapsus$ успешно взломает инфраструктуру компании, они потенциально могут использовать это как плацдарм для атаки на клиентов компании.
Группировка использует собственные каналы в Telegram, чтобы объявлять о новых утечках, атаках и общаться со своими поклонниками. Lapsus$ имеет более 33 000 подписчиков на основном канале и более 8000 пользователей в чате.
Похоже, что после закрытия форума RaidForums, многие завсегдатаи этого сайта теперь общаются в Telegram-каналах Lapsus$.
Вполне вероятно, что в ближайшее время мы увидим больше утечек.
Угрозы безопасности
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО