目前，微軟公司和Okta公司都在調(diào)查核實(shí)黑客組織Lapsus$早先宣稱破壞攻擊他們系統(tǒng)的說(shuō)法是否真實(shí)。黑客組織Lapsus$聲稱自己獲得了訪問(wèn)Okta公司內(nèi)部系統(tǒng)的“超級(jí)用戶/管理員”權(quán)限。并且還在Telegram頻道發(fā)布了近40GB的文件，其中包括了據(jù)說(shuō)來(lái)源于微軟內(nèi)部項(xiàng)目以及系統(tǒng)的屏幕截圖和源代碼。這則令人震驚的消息最早由Vice和路透社報(bào)道。

Okta公司周二證實(shí)，該公司確實(shí)遭受了網(wǎng)絡(luò)黑客的攻擊，且一些用戶也受到了不同程度的影響。盡管此次網(wǎng)絡(luò)安全漏洞的范圍尚未明晰，但不容樂(lè)觀的是漏洞可能是巨大的。根據(jù)該公司的說(shuō)法，他們正在為數(shù)億用戶提供網(wǎng)絡(luò)平臺(tái)服務(wù)，其中就包括了聯(lián)邦快遞、穆迪公司(債權(quán)評(píng)級(jí)機(jī)構(gòu))、T-Mobile公司(德國(guó)電信的子公司)、惠普公司和GrubHub公司(美國(guó)大型食品配送公司)等數(shù)千家大型公司的員工。

一位微軟公司的發(fā)言人告訴Threatpost，在公司內(nèi)部調(diào)查時(shí)發(fā)現(xiàn)一個(gè)具有訪問(wèn)權(quán)限的公司賬戶被盜。微軟公司的網(wǎng)絡(luò)安全響應(yīng)團(tuán)隊(duì)正在迅速地對(duì)被盜賬戶進(jìn)行補(bǔ)救，亡羊補(bǔ)牢，猶未為晚，以防止黑客組織利用該賬戶進(jìn)行下一步的活動(dòng)。該發(fā)言人同時(shí)表示他們并不將代碼的保密性作為唯一地網(wǎng)絡(luò)安全防范措施，查看源代碼的行為與公司內(nèi)的風(fēng)險(xiǎn)提升并無(wú)直接的聯(lián)系。微軟的威脅情報(bào)團(tuán)隊(duì)在周二發(fā)布了一個(gè)博客，詳細(xì)介紹了其觀察Lapsus$的活動(dòng)，微軟將其標(biāo)記為DEV-0537。

“非常令人擔(dān)憂”

被泄露的Okta屏幕截圖內(nèi)容包括Okta公司Slack頻道以及其Cloudflare界面。Lapsus$組織在隨后的一條消息中表示，他們僅僅關(guān)注Okta的使用客戶。

獨(dú)立安全研究員Bill Demirkapi在推特上表示，屏幕截圖所泄露的內(nèi)容十分令人擔(dān)憂。LAPSUS$組織似乎已經(jīng)獲得了@Cloudflare租戶的訪問(wèn)權(quán)限并能夠重置員工密碼。

Cloudflare公司在周二宣布，該公司不會(huì)拿員工的Okta授權(quán)權(quán)限進(jìn)行冒險(xiǎn)。Cloudflare公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官M(fèi)atthew Prince在推特上表示，他們出于謹(jǐn)慎行事才使用Okta系統(tǒng)對(duì)員工身份進(jìn)行驗(yàn)證。

出于謹(jǐn)慎，我們正在重置過(guò)去4個(gè)月中更改過(guò)員工密碼的@Okta憑據(jù)。我們絕對(duì)不會(huì)對(duì)網(wǎng)絡(luò)攻擊妥協(xié)。但是鑒于Okta公司僅僅是一家從事網(wǎng)絡(luò)安全驗(yàn)證的公司，如果他們出現(xiàn)了問(wèn)題，我們也會(huì)適時(shí)的評(píng)估替代他們的方案。

— Matthew Prince ?2022年3月22日

網(wǎng)絡(luò)安全漏洞時(shí)間之長(zhǎng)令人擔(dān)憂

Demirkapi從泄露出的屏幕截圖發(fā)現(xiàn)了另一個(gè)可怕之處：即屏幕截圖的時(shí)間表明日期Lapsus$組織至少于2022年1月21日之前就進(jìn)入安全系統(tǒng)內(nèi)部。Demirkapi表示如果日期正確，那就表明Okta公司至少有兩個(gè)月沒(méi)有公開(kāi)承認(rèn)其內(nèi)部存在任何違規(guī)行為。

屏幕截圖非常令人擔(dān)憂。在圖片中，LAPSUS$組織似乎已經(jīng)獲得了@Cloudflare租戶的訪問(wèn)權(quán)限，并且能夠隨心所欲地重置員工密碼：pic.twitter.com/OZBMenuwgJ。

— Bill Demirkapi(@BillDemirkapi)2022年3月22日

如果這些日期屬實(shí)，就意味著Lapsus$組織已經(jīng)黑入Okta公司系統(tǒng)已經(jīng)長(zhǎng)達(dá)數(shù)月之久，這也表明Lapsus$組織在被發(fā)現(xiàn)之前享受了短暫的狂歡。這無(wú)疑是事實(shí)。

本周二Okta首席執(zhí)行官Todd McKinnon在推特上表示：在2022年1月Okta公司發(fā)覺(jué)到一位為Okta的子處理器工作的第三方客戶支持工程師試圖妥協(xié)，但是此事已經(jīng)由子公司調(diào)查并處理了。Okta公司認(rèn)為，網(wǎng)絡(luò)中流出的Lapsus$屏幕截圖與1月份的事件有關(guān)。Okta首席執(zhí)行官表示：根據(jù)他們迄今為止的調(diào)查，除了1月份發(fā)現(xiàn)的活動(dòng)與Lapsus$組織有關(guān)，并沒(méi)有其他證據(jù)表明存在持續(xù)的惡意活動(dòng)。

我們認(rèn)為，在線共享的屏幕截圖與今年1月份的活動(dòng)有關(guān)。根據(jù)我們迄今為止的調(diào)查，除了1月份發(fā)現(xiàn)的活動(dòng)外，沒(méi)有證據(jù)表明存在持續(xù)的惡意活動(dòng)。

— Todd McKinnon(@toddmckinnon)2022年3月22日

內(nèi)部員工參與了嗎？

如果上述的日期準(zhǔn)確，那么就意味著Lapsus$在3月10日在其電報(bào)頻道上發(fā)布需要幫助的通知很可能成功獲得了響應(yīng)的。該組織發(fā)帖聲稱，它希望能夠招募一些公司內(nèi)部人士來(lái)幫助其開(kāi)展他骯臟的工作。這些公司就有微軟公司以及一些其他的大型軟件、游戲公司包括蘋(píng)果公司、IBM公司、EA、一些電信公司包括Telefonica(西班牙電話公司)、ATT(美國(guó)電話電報(bào)公司)等。

Lapsus$組織3月10日的電報(bào)帖子：

我們正在招聘以下員工/內(nèi)部人員!!!!注意：我們不是在尋找數(shù)據(jù)，我們正在尋找可以為我們提供VPN或CITRIX接入內(nèi)部系統(tǒng)的內(nèi)部人員。“這也就意味著網(wǎng)絡(luò)犯罪分子可以在內(nèi)部人士的幫助下滲透進(jìn)入目標(biāo)網(wǎng)絡(luò)。

關(guān)于必應(yīng)、必應(yīng)地圖、Cortana被盜的數(shù)據(jù)

周一，Lapsus$組織開(kāi)始分發(fā)10GB的壓縮檔案，這其中據(jù)稱包含了微軟必應(yīng)搜索引擎、必應(yīng)地圖的內(nèi)部數(shù)據(jù)以及該公司語(yǔ)音助理軟件Cortana的源代碼。

泄露的數(shù)據(jù)日期為2022年3月20日。

“Bing地圖是90%的完整轉(zhuǎn)儲(chǔ)。Bing和Cortana約為45%，”Lapsus$在其電報(bào)頻道上寫(xiě)道。

微軟公司承認(rèn)了這些說(shuō)法，并表示正在竭盡全力進(jìn)行調(diào)查。

Lapsus$組織調(diào)侃了Okta公司的索賠聲明

周二，Okta公司首席安全官Davis Bradbury在一份更新的聲明中提出了對(duì)于Lapsus$組織的索賠，但是在幾個(gè)小時(shí)內(nèi)該份聲明就遭到了調(diào)侃。Demirkapi在推特上發(fā)布了Lapsus$組織的回?fù)簦?/p>

LAPSUS$勒索軟件集團(tuán)對(duì)Okta的聲明做出了以下回應(yīng)。pic.twitter.com/D6KYQjnKPU

— Bill Demirkapi(@BillDemirkapi)2022年3月22日

除此之外，Lapsus$組織還調(diào)侃了Bradbury關(guān)于該組織在1月份試圖破壞工程師筆記本電腦的描述，Lapsus$組織聲稱該名工程師并沒(méi)有提供有效的信息。該團(tuán)伙還嘲笑Bradbury關(guān)于他們?cè)?月份訪問(wèn)工程師帳戶的嘗試沒(méi)有成功的說(shuō)法。“我們?nèi)匀徊淮_定這怎么會(huì)失敗?我們成功登錄了超級(jí)用戶門(mén)戶網(wǎng)站，并且能夠重置密碼和登錄約95%客戶的MFA，這難道不成功？”Lapsus$組織還表示，Okta公司所宣稱的相關(guān)攻擊僅導(dǎo)致有限潛在影響的說(shuō)法是錯(cuò)誤的。他們能夠確信重置密碼和MFA將導(dǎo)致許多客戶端系統(tǒng)完全受損。在這篇文章發(fā)布時(shí)，Okta公司尚未回應(yīng)Threatpost對(duì)Lapsus$索賠發(fā)表評(píng)論的請(qǐng)求。

Lapsus$組織發(fā)動(dòng)了更多的攻擊

相關(guān)信息顯示Lapsus$集團(tuán)發(fā)動(dòng)了越來(lái)越多的高調(diào)攻擊。在去年12月，它襲擊了巴西衛(wèi)生部，推翻了數(shù)個(gè)在線實(shí)體，成功刪除了巴西公民新冠肺炎疫苗接種數(shù)據(jù)的信息，并破壞了簽發(fā)數(shù)字疫苗接種證書(shū)的系統(tǒng)。最近，Lapsus$削弱了葡萄牙媒體巨頭Impresa;攻擊英偉達(dá)，使用代碼簽名證書(shū)以用于簽署惡意軟件，從而使惡意程序能夠躍過(guò)Windows系統(tǒng)內(nèi)部的安全保護(hù)措施;以及他們宣傳從三星竊取的大量專有源代碼;攻擊了刺客信條電子游戲開(kāi)發(fā)商育碧公司。據(jù)《安全周刊》報(bào)道，周一，該組織還聲稱攻擊了電子巨頭LGE。

Lapsus$是一張萬(wàn)用牌

供職于網(wǎng)絡(luò)安全公司GuidePoint Security的防勒索軟件專家兼首席威脅情報(bào)分析師Drew Schmitt，其依靠多年與勒索軟件談判和威脅情報(bào)工作的經(jīng)驗(yàn)，與該組織能夠直接進(jìn)行交流互動(dòng)。

他在周二告訴Threatpost，該組織是一張萬(wàn)用牌(萬(wàn)用牌：撲克牌游戲的轉(zhuǎn)用術(shù)語(yǔ)，先指不可事先預(yù)知，但是又能在何時(shí)時(shí)機(jī)發(fā)揮重要影響)。因?yàn)楹诳徒M織不會(huì)出于勒索目的對(duì)文件或數(shù)據(jù)進(jìn)行加密，而是利用泄露敏感數(shù)據(jù)來(lái)將其用于主要勒索工作。他認(rèn)為，勒索目的的不同使Lapsus$組織與來(lái)自Conti、Lockbit等團(tuán)體使用的傳統(tǒng)勒索軟件方法相區(qū)分。同時(shí)他也指出Lapsus$組織與傳統(tǒng)勒索軟件組織的另一個(gè)不同之處在于，他們使用Telegram進(jìn)行通信和敲詐勒索，而不是使用TOR服務(wù)托管的網(wǎng)站泄漏信息。

此外，他還認(rèn)為，根據(jù)3月11日該組織針對(duì)內(nèi)部人士的招募信息可以發(fā)現(xiàn)他們對(duì)于目標(biāo)的初始訪問(wèn)方式是非正統(tǒng)的。Schmitt認(rèn)為，Lapsus$組織顯然是獨(dú)立運(yùn)作的，與其他網(wǎng)絡(luò)犯罪/勒索軟件辛迪加或民族國(guó)家贊助無(wú)關(guān)。當(dāng)然隨著對(duì)于該組織的分析，上述的判斷可能會(huì)發(fā)生改變。由于這個(gè)群體在過(guò)去幾周中聲名狼藉，Schmitt以及他的同事可能會(huì)通過(guò)新的情報(bào)來(lái)表明該組織與其他已知群體、辛迪加有所關(guān)聯(lián)。

Schmitt說(shuō)，Lapsus$正在改變勒索軟件的游戲方式。他們沒(méi)有采用傳統(tǒng)的初始訪問(wèn)方法，遠(yuǎn)離文件加密等手段，并偏離傳統(tǒng)的泄漏網(wǎng)站基礎(chǔ)方法。他預(yù)測(cè)這些變化可以被更傳統(tǒng)的勒索軟件團(tuán)體所借鑒采納。

他們的目的不僅于此

據(jù)安全專家稱，Lapsus$組織對(duì)Okta的舉動(dòng)清楚地表明他們的目的不僅僅停留在勒索的目的。前政府安全分析師、第三方風(fēng)險(xiǎn)管理公司CyberGRX的現(xiàn)任首席信息安全官 Dave Stapleton認(rèn)為，Lapsus$組織希望提高其知名度——最好能夠招聘到大型科技公司內(nèi)部愿意出售遠(yuǎn)程訪問(wèn)的人士。他于周二告訴Threatpost，另一次影響深遠(yuǎn)的供應(yīng)鏈攻擊也可能是由其發(fā)動(dòng)。

Stapleton通過(guò)接受電子郵件采訪時(shí)認(rèn)為：雖然目前細(xì)節(jié)很少，但很明顯，這位攻擊者正在努力打出自己的旗幟，以便繼續(xù)提高他們的知名度和地位，這將有利于他們招聘到愿意出售主要技術(shù)公司和ISP遠(yuǎn)程訪問(wèn)的內(nèi)部人士。通過(guò)他們對(duì)Okta的最新活動(dòng)可以發(fā)現(xiàn)Lapsus$集團(tuán)本質(zhì)上是在向潛在新人宣傳他們的運(yùn)作方式。

鑒于Okta公司是世界各地組織的重要身份提供商，Stapleton擔(dān)心這是對(duì)于豐田等公司生產(chǎn)供應(yīng)鏈攻擊的組成部分。他相信Okta的客戶會(huì)對(duì)此事件進(jìn)行密切關(guān)注。這次影響深遠(yuǎn)的供應(yīng)鏈攻擊的威脅當(dāng)然引起了我的注意。

Breakwater Solutions的董事總經(jīng)理Kevin Novak認(rèn)為Okta后臺(tái)漏洞的范圍可能極為有限。否則鑒于Okta龐大的客戶群，他們現(xiàn)在應(yīng)該已經(jīng)知道了事情的發(fā)生。他說(shuō)：“雖然有些人猜測(cè)這次黑客組織的成功攻擊是否使得人們發(fā)現(xiàn)了Okta后臺(tái)存在的漏洞，但到目前為止，Okta后臺(tái)的全面妥協(xié)似乎已經(jīng)變得更加明顯，但在未來(lái)幾個(gè)月內(nèi)，我們也會(huì)持續(xù)關(guān)注。”

Novak指出：“如果Okta的妥協(xié)會(huì)導(dǎo)致Lapsus$等組織對(duì)于客戶信息的攻擊，比如泄露客戶憑證、關(guān)鍵材料或與可能導(dǎo)致客戶妥協(xié)的環(huán)境相關(guān)的源代碼，那么Okta可能會(huì)因?yàn)槿狈?duì)事件的充分了解、未能及時(shí)通知而受到該領(lǐng)域的更大審查。”

我們?cè)撊绾螒?yīng)對(duì)

顯然到目前為止Okta漏洞未能得到及時(shí)彌補(bǔ)。但盡管如此，我們的公司現(xiàn)在可以采取一些措施來(lái)保護(hù)其員工和網(wǎng)絡(luò)。Expel全球運(yùn)營(yíng)總監(jiān)Jon Hencinski告訴Threatpost，立即采取的預(yù)防措施包括生成具有特權(quán)的Okta密碼和Okta令牌，以及審查Okta過(guò)去四個(gè)月的管理員身份驗(yàn)證和活動(dòng)。

他提供了以下其他提示：

• 更改審查配置以確保它們與預(yù)期行動(dòng)和來(lái)源保持一致。
• 審查管理員身份驗(yàn)證信息并確保它們來(lái)源于數(shù)據(jù)源用戶。
• 找出在同一時(shí)期內(nèi)被MFA禁用的Okta賬戶，并確定此類用戶被禁用的根本原因，然后再為這些帳戶重新啟用MFA。
• 在審查的過(guò)程中，及時(shí)地與利益相關(guān)者坦誠(chéng)地溝通您正在做的事情和已經(jīng)做的事情。
• 同時(shí)這也是一個(gè)測(cè)試事件響應(yīng)計(jì)劃(IRP)的機(jī)會(huì)。如果您沒(méi)有IRP，請(qǐng)創(chuàng)建一個(gè)，然后重復(fù)地測(cè)試它。

“機(jī)會(huì)永遠(yuǎn)是留給有準(zhǔn)備的人，”Hencinski補(bǔ)充道。

來(lái)源：https://threatpost.com/lapsus-data-kidnappers-claim-snatches-from-microsoft-okta/179041/