投稿
  1. 谷达鸭首页
  2. 投稿

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

Expreview超能网 投稿
老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

在不到半年里,黑客组织 Lapsus$ 四处搞事,从巴西政府骇到 NVIDIA,现在又骇了微软。 不过,现在传出藏在Lapsus$幕后的,可能是个16岁的英国少年。

最近,那个勒索 NVIDIA 的 Lapsus$, 又把微软给骇了!

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

在过去几个月里,Lapsus$ 可谓是声名鹊起。 NVIDIA 、三星、沃达丰、育碧等等都惨遭毒手。

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

而这里面最惨的,就属英伟达了。

毕竟被放出代码,而且文件大小还高达75GB的,也仅此一家。 不过,距离「最后通牒」也已经过了小半个月,却不见Lapsus$ 有进一步的动作。

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

对于微软这家商业软件巨头来说,目前 Lapsus$ 还尚未向提出任何要求。

微软也难逃厄运

周日清晨,Lapsus$ 在 Telegram 上发布了一张内部代码的截图,内容似乎是从微软云计算部门 Azure 的内部开发人员账户中骇进去得到的信息。

图中的 Azure DevOps 资源库包含了 Cortana 和各种 Bing 计划的代码。

Lapsus$ 表示,Bing 地图的代码已经完成了90%的转储,Cortana 和 Bing 的代码完成了 45%。

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

Bing_STC-SV:计划包含硅谷办公室各种Bing工程计划的代码

Bing_Test_Agile:使用敏捷模板的Bing的测试计划

Bing_UX: Bing.com 前台(SNR)和其他相关的用户体验库

BingCubator :BingCubator团队

Bing-代码:用于保存所有 Bing 代码的中心计划

Compliance_Engineering: WebXT 合规工程团队计划

Cortana: 所有与 Cortana 相关的代码和工作计划

奇怪的是,勒索团伙在截图中留下了登录用户的首字母「IS」。 这基本上就是直接为微软指明了被攻击的账户。

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

不知道是不是意识到了这一点,在发布截图后不久,Lapsus$ 就把帖子撤了下来。 取而代之的是一条信息:「暂时删除,以后再发。」

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

首字母的暴露很有可能也意味着 Lapsus$ 不再有登入该数据库的权限。 当然,也不排除 Lapsus$ 只是在单方面嘲弄微软。

众所周知,Lapsus$ 对以前的受害者也是如此。

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

不过,安全公司Darktrace的全球威胁分析主管Toby Lewis则更为审慎:「除了内部开发人员仪表板的截图之外,没有任何进一步的证据。 虽然 Lapsus$ 曾成功地入侵过大型机构,但截图为我们提供的信息非常少。」

代码泄露,问题不大

虽然代码的泄露会让软件中的漏洞更容易被发现,但微软先前曾表示,他们的威胁模型假定威胁者已经了解他们的软件是如何工作的,无论是通过逆向工程解析还是以前的代码泄露,都不会造成风险的提升。

「在微软,我们有开发内部代码的独特方式,透过类似开源界的文化、和从开源界得来的最佳经验,来开发微软内部的代码。 这意味着我们不依靠代码的保密性来保证产品的安全,我们的威胁模型假定攻击者对代码有了解。」 微软在一篇关于 SolarWinds 攻击者获得其代码的文章中解释道,「所以查看代码并不与风险的提升挂钩。」

不过,库通常还包含令牌、凭证、API密钥,甚至是代码签名证书。 当Lapsus$ 攻破英伟达并发布的他们的数据时,它还包括代码签名证书,其他威胁者很快就用它来签署他们的恶意软件。

而使用英伟达的代码签署证书则会导致反病毒引擎信任可执行文件,而不将其检测为恶意软件。

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

对此,微软曾表示,他们有一项开发政策,禁止将API密钥、凭证或访问令牌等秘密纳入库中。

即使是这样,也不意味着代码中没有包括其他有价值的数据,比如私人加密密钥或其他专有工具等。

目前还不知道这些包含了什么,但正如对以前的受害者所做的那样,Lapsus$ 泄露被盗的数据只是时间问题。

透过钓鱼与直接买密码攻击目标

与公众之前了解的许多勒索集团不同,Lapsus$ 并没有在受害者的设备上部署勒索软件。

相反,他们的目标是大公司的源代码库,窃取他们的专有数据,然后试图以数百万美元的价格将这些数据「卖」给受害公司。

据称Lapsus$正在四处招揽大型科技企业的内线,让这些内部员工透露敏感信息。

3月10日在社群网站上写道,「我们在以下公司招聘员工/内部人员!!!!」 ,该声明随后列出了它希望渗透的公司名单,其中包括苹果、IBM和微软。

黑客组织在贴文中描述了要求叛变员工帮助访问目标公司网络的特定方式:

「请注意:我们不是在直接索取数据,我们正在寻找内部员工来提供他们公司的内网 或 CITRIX 的外网接口,或一些 AnyDesk 的远程登录权限。」

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

据网络安全企业的推断,该黑客团伙的攻击方式除了这种直接购买登陆密码与接口外,就是经典的钓鱼攻击、获得目标网络的网络验证。

老办法一般是久经考验的好办法,这些方式能让攻击者在目标网络中潜伏数周而不被发觉。

Lapsus$ 在黑客团伙中的独特之处,在于社交媒体建立形象并发声。 除了钱以外,该组织还想要名声。

Lapsus$ 并不常对被攻破系统直接加密、进行勒索软件攻击,而是威胁要泄露它已经窃取的信息,除非受害者乖乖给钱。

该组织要钱的方式与要求时常变幻,应该单纯是为名利所驱动,没有政治动机或国家级实体赞助者。 但就是这种贪得无厌死要钱的网络劫匪最不会销声匿迹,网络安全企业估计它们之后的攻击会越发频繁。

这个自称只受金钱驱使的黑客组织,在成功攻击了巨头英伟达和三星之后,获得了自信并扩大了野心。

16岁自闭症男孩带队?

Lapsus$ 在黑客界还算是一个新人。

2021年年底,Lapsus$ 的活动被首次曝光,其目标是巴西和葡萄牙的公司。

首先是巴西卫生部、葡萄牙媒体公司Impresa、南美电信公司Claro和Embratel,以及葡萄牙议会等等。

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

不过,据网友透露,Lapsus$ 的活动可能要追溯到2021年6月。 在地下论坛帖子中,一位用户写道:「针对游戏巨头EA的骇客攻击,要归功于Lapsus$, 更多的内容会被泄露。」

之后,EA的游戏FIFA 21代码被公开。

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

在2022年3月的育碧被骇事件中,Lapsus$ 也暗示自己是幕后的主使。

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

最近的网络地下世界争斗,更是为集团成员的隐秘身份揭开了一角。

据称,该组织的头目是一名居住在英国的16岁自闭症少年男子。 他在 Dark web 上的常用ID一般是 SigmA、wh1te、Breachbase 和 Alexander Pavlov。

这是在ID为 SigmA 的用户在购买 doxbin 后回售给原网站拥有者不果后被曝出的。 在交涉失败后,有人爆料 SigmA 就是 Lapsus$ 的头目,并称其已被捕。

之后Lapsus$ 的社群网站频道辟谣,称SigmA没有被捕,如此证实了SigmA/Alexander Pavlov的确是Lapsus$ 首脑的推测。

网络安全企业也发现,在 SigmA 拥有d oxbin 网站时,托管 doxbin 的子网与托管当时 Lapsus$ 主网站的子网是同一个。

老黄被骇、微软中招,最狂Lapsus$黑客集团幕后可能是16岁英国自闭症男孩

这可真是后生可畏、前途无亮啊……

(0)
打赏 微信扫一扫 微信扫一扫
Expreview超能网Expreview超能网认证作者
0 0

相关推荐

发表评论

登录后才能评论