黑客组织声称袭击了微软和Okta

目前，微软和Okta都在调查核实黑客组织Lapsus$是否早前声称破坏和攻击他们的系统。黑客组织Lapsus$声称已获得对Okta内部系统的“超级用户/管理员”访问权限。并且还在Telegram频道上发布了近40GB的文件，其中包括据说来自微软内部项目和系统的截图和源代码。Vice和路透社最先报道了这一令人震惊的消息。Okta周二证实，该公司确实遭到了网络黑客的攻击，部分用户也受到了不同程度的影响。虽然网络安全漏洞的范围尚未明确，但缺点是漏洞可能很大。据该公司称，他们正在为数亿用户提供在线平台服务，包括联邦快递、穆迪（信用评级机构）、T-Mobile（德国电信的子公司）、惠普和GrubHub（美国大型食品配送公司）)以及大公司的数千名员工。微软发言人告诉Threatpost，一项公司内部调查显示，一个具有访问权限的公司账户已被盗用。微软的网络安全响应团队正在迅速补救被盗帐户，以免为时已晚，以防止黑客组织利用该帐户进行进一步的活动。该发言人还表示，他们并不将代码保密作为唯一的网络安全防范措施，查看源代码的行为与公司内部风险增加没有直接关系。微软的威胁情报团队周二发布了一篇博客，详细介绍了其对Lapsus$活动的观察结果，微软将其标记为DEV-0537。“非常令人担忧”的泄露Okta屏幕截图包括Okta的企业Slack频道及其Cloudflare界面。在随后的消息中，Lapsus$集团表示他们只关注使用Okta的客户。独立安全研究员BillDemirkapi在推特上表示，截图显示的内容令人担忧。LAPSUS$组织似乎已经获得了@Cloudflare租户的访问权限，并且能够重置员工密码。Cloudflare周二宣布，它不会拿员工的Okta授权权限冒险。Cloudflare的联合创始人兼首席执行官MatthewPrince在推特上表示，出于谨慎考虑，他们使用Okta系统来验证员工身份。出于谨慎考虑，我们正在为过去4个月内更改密码的员工重置@Okta凭据。我们绝不会向网络攻击妥协。但由于Okta只是一家从事网络安全验证的公司，如果他们有问题，我们也会适时评估他们的备选方案。—MatthewPrince2022年3月22日网络安全漏洞的持续时间令人担忧Demirkapi在泄露的屏幕截图中发现了另一件可怕的事情：即屏幕截图的日期显示Lapsus$组织至少早于2022年1月21日进入前一天的安全系统。Demirkapi说，如果日期是正确的，这将表明Okta至少两个月没有公开承认其内部有任何违规行为。截图非常令人担忧。在图片中，LAPSUS$组织似乎已经获得了@Cloudflare租户的访问权限，并且能够随意重置员工密码：pic.twitter.com/OZBMenuwgJ。—BillDemirkapi(@BillDemirkapi)2022年3月22日如果这些日期属实，则意味着Lapsus$集团已经侵入Okta公司系统数月之久，这也表明Lapsus$集团在被发现之前享受了很多短暂的狂欢。这无疑是事实。Okta首席执行官ToddMcKinnon周二在推特上表示：2022年1月，Okta获悉一名在Okta子处理器上工作的第三方客户支持工程师的妥协，但此事已由处理的子公司进行调查。Okta认为，网上泄露的Lapsus$截图与1月份的事件有关。“根据他们迄今为止的调查，除了1月份发现的与Lapsus$组织有关的活动之外，没有证据表明正在进行的恶意活动，”Okta首席执行官说。我们认为网上分享的截图与今年1月的事件有关。根据我们迄今为止的调查，除了1月份发现的活动之外，没有证据表明正在进行的恶意活动。—ToddMcKinnon(@toddmckinnon)2022年3月22日涉及内部员工？如果上述日期准确无误，则意味着Lapsus$于3月10日在其Telegram频道发布的求助通知很可能得到成功回复。该组织发帖称，它想招募一些公司内部人士来帮助它做肮脏的工作。这些公司包括微软和其他一些大型软件和游戏公司包括Apple、IBM、EA，还有一些电信公司包括Telefonica（西班牙电话公司）、ATT（美国电话电报公司）等。Lapsus$Organization3月10日电报邮报：我们正在招聘以下员工/内部人员！！！！注意：我们不是在寻找数据，我们是在寻找可以为我们提供VPN或CITRIX访问内部系统的内部人员。“这也意味着网络犯罪分子可以在内部人员的帮助下渗透到目标网络。”Bing、Bing地图、Cortana数据被盗周一，Lapsus$组织开始分发10GB的压缩档案，据称其中包含微软Bing搜索引擎Bing地图的内部数据，以及该公司语音助手软件Cortana的源代码。泄露的数据日期为2022年3月20日。“Bing地图是90%的完整转储。Bing和Cortana大约是45%，”Lapsus$在其Telegram频道上写道。微软承认了这些说法，并表示正在尽最大努力进行调查。Lapsus$组织周二取笑Okta的说法，即Okta的首席安全官戴维斯·布拉德伯里(DavisBradbury)在一份更新的声明中提出了对Lapsus$的索赔，该声明在数小时内遭到嘲笑。Demirkapi在推特上发布了Lapsus$的回应：LAPSUS$勒索软件该组织对Okta的声明做出了以下回应。pic.twitter.com/D6KYQjnKPU-BillDemirkapi(@BillDemirkapi)2022年3月22日最重要的是，Lapsus$小组取笑Bradbury关于该小组试图破坏工程师笔记本电脑的描述，Lapsus$小组声称工程师没有提供有效信息。该组织还嘲笑Bradbury声称他们在1月份尝试访问该工程师帐户但未成功的说法。“我们仍然不确定这是如何失败的。”?我们成功登录到超级用户门户，并且能够为大约95%的客户重置密码并登录到MFA，这不是成功了吗？Lapsus$组织还表示，Okta关于相关攻击的潜在影响有限的说法是错误的。他们相信重置密码和MFA会导致许多客户端系统完全受损。截至发稿时，Okta尚未回应Threatpost就Lapsus$的说法发表评论的请求。Lapsus$发起了更多攻击相关信息表明，Lapsus$组织发起的攻击越来越高调。去年12月，它袭击了巴西卫生部，推翻了几个在线实体，设法删除了巴西公民的COVID-19疫苗接种数据信息，并破坏了颁发数字疫苗接种证书的系统。最近，Lapsus$削弱了葡萄牙媒体巨头Impresa；入侵Nvidia，使用代码签名证书签署恶意软件，使恶意程序能够绕过Windows的内部安全保护；源代码;被刺客信条视频游戏开发商育碧入侵。周一，该组织还声称入侵了电子巨头LGE，《安全周刊》报道。Lapsus$是一张通配符。网络安全公司GuidePointSecurity的反勒索软件专家兼首席威胁情报分析师德鲁·施密特(DrewSchmitt)凭借多年在勒索软件威胁情报方面的谈判和合作经验，直接与该组织进行沟通。交互的。他周二告诉Threatpost，该组织是一张外卡。因为黑客组织不会出于勒索目的加密文件或数据，而是利用泄露的敏感数据将其用于主要的勒索活动。他认为，勒索软件目的的不同将Lapsus$组织与Conti和Lockbit等组织使用的传统勒索软件方法区分开来。同时，他还指出，Lapsus$组织与传统勒索软件组织的另一个区别是，他们使用Telegram进行通信和勒索，而不是使用TOR服务托管的网站来泄露信息。此外，根据该组织3月11日针对内部人士的招聘信息，他认为该组织最初对目标的访问是非正统的。根据Schmitt的说法，Lapsus$集团显然是独立运作的，与其他网络犯罪/勒索软件集团或国家赞助没有任何联系。当然，随着机构的分析，上述判断可能会发生变化。由于该组织在过去几周声名狼藉，施密特和他的同事可能获得了新的情报，表明该组织与其他已知组织、集团有联系。施密特说，Lapsus$正在改变勒索软件游戏。他们没有采用传统的初始访问方式，摆脱了文件加密等手段，也偏离了传统的网站基础泄露方式。他预测这些变化可能会被更传统的勒索软件组织采用。他们的目的不止于此据安全专家称，Lapsus$针对Okta的举动清楚地表明他们的目的不仅限于敲诈勒索。第三方风险管理公司Cyber??GRX的前政府安全分析师和现任首席信息安全官戴夫·斯台普顿(DaveStapleton)认为，Lapsus$集团希望提升自己的知名度——最好是在大型科技公司内部招募愿意销售远程访问的人员。他周二告诉Threatpost，它还可能发动另一场影响深远的供应链攻击。Stapleton在接受电子邮件采访时说：“虽然目前细节很少，但很明显，这个攻击者正试图举起自己的旗帜，以继续提高他们的知名度和地位，这将帮助他们招募愿意出售主要产品的人技术。企业和ISP远程访问的内部人士。通过他们在Okta上的最新活动，Lapsus$集团实质上是在向潜在的新人介绍他们的运作方式。鉴于Okta是全球组织的重要身份提供商，Stapleton担心这可能是对丰田等公司的生产供应链的攻击的一部分。他相信Okta的客户将密切关注这一事件。影响深远的供应链攻击的威胁当然引起了我的注意。BreakwaterSolutions董事总经理KevinNovak认为Okta后端漏洞的范围可能非常有限。否则鉴于Okta的庞大客户群，他们现在应该已经知道了兴是怎么回事。“虽然有人猜测黑客组织的成功攻击是否导致了Okta后端漏洞的发现，但到目前为止，Okta后端的全面妥协似乎变得更加明显，但在接下来的几个月里，”他说，我们会持续关注。”Novak指出：“如果Okta的泄露导致Lapsus$等组织对客户信息的攻击，例如泄露客户凭证、密钥材料或与环境相关的源代码可能导致客户泄露，那么Okta可能存在对不充分了解事件、未及时通报的，加大现场监督力度。”我们应该如何应对很明显，到目前为止，Okta漏洞并未及时关闭。但尽管如此，我们的公司现在可以采取一些措施来保护他们的员工和他们的网络。Expel全球运营总监JonHencinski告诉Threatpost，立即采取的预防措施包括生成特权Okta密码和Okta令牌，以及审查Okta的管理员身份验证和过去四个月的活动。他提供了以下额外提示：更改审核配置以确保它们与预期的操作和来源保持一致。查看管理员身份验证信息并确保它们来自数据源用户。确定在同一时期禁用MFA的Okta帐户，并在为这些帐户重新启用MFA之前确定此类用户被禁用的根本原因。在审查过程中，及时并坦诚地与利益相关者说明您正在做什么和已经做了什么。这也是测试您的事件响应计划(IRP)的机会。如果您没有IRP，请创建一个并反复测试。“机会总是留给有准备的人，”亨辛斯基补充道。来源：https://threatpost.com/lapsus-data-kidnappers-claim-snatches-from-microsoft-okta/179041/