Finition | Jung Ryeo Won
Liste | CSDN (ID : CSDNnews)
Après NVIDIA et Samsung , l'organisation de hackers Lapsus $ a recommencé ! Et cette fois, c'était Microsoft.
Dimanche dernier, Lapsus$ a posté une capture d'écran sur Telegram : les noms de fichiers "Azure DevOps", "Bing", "Cortana" dans le coin supérieur gauche, etc., qui montrent tous qu'il a réussi à pirater le serveur Azure DevOps de Microsoft et Code source pour Bing, Cortana et divers projets internes .
Puis, lundi, Lapsus$ a directement dévoilé un package compressé de 9 Go , affirmant qu'il contient le code source de plus de 250 projets internes de Microsoft, 90% du code source de Bing et 45% du code source de Bing Maps et Cortana !
Microsoft : Admet le piratage, mais pas vraiment un problème
Selon des chercheurs en sécurité, les archives publiques de Lapsus$, bien que seulement 9 Go, devraient contenir environ 37 Go de code source non compressé, et certains des e-mails et documents prouvent également les affirmations de Lapsus$ : « Ces e-mails et cette documentation sont clairement utilisés par Microsoft ingénieurs pour publier des applications mobiles ."
Grâce à des recherches plus approfondies, les chercheurs ont également découvert que le code source divulgué par Lapsus$ est principalement concentré dans l'infrastructure Web, les sites Web ou les applications mobiles de Microsoft, et ne divulgue pas le code source de ses logiciels de bureau tels que Windows ou Office.
En réponse à cela, Microsoft a répondu mardi par un article de blog officiel : En effet, un compte a été compromis, mais la fuite de code source n'est pas un gros problème (dans l'article de blog officiel, Microsoft fait référence à Lapsus$ comme DEV-0537) .
Cette semaine, DEV-0537 a déclaré publiquement avoir eu accès à Microsoft et divulgué une partie du code source. Mais nous avons observé que le piratage n'impliquait pas de code ou de données client. Notre enquête a révélé qu'un compte avait été compromis avec un accès limité, et notre équipe d'intervention en matière de cybersécurité a rapidement réparé le compte compromis et empêché toute activité ultérieure.
Cependant, Microsoft n'utilise pas la confidentialité du code comme mesure de sécurité, donc l'affichage du code source n'augmente pas le risque . Nous avons également analysé en détail les stratégies et technologies impliquées dans l'intrusion de DEV-0537. Ainsi, lorsque les attaquants ont révélé publiquement leurs violations, notre équipe a enquêté sur les comptes compromis sur la base de renseignements sur les menaces et est directement intervenue et interrompue pour empêcher l'impact de s'aggraver.
Microsoft affirme que son équipe d'enquête a suivi le groupe Lapsus$ ces dernières semaines et a découvert certaines des méthodes et techniques qu'ils utilisent pour compromettre les systèmes ciblés bien avant que Lapsus$ ne divulgue le code.
Microsoft ne ment probablement pas à ce sujet.
Selon une capture d'écran de la conversation Telegram de Lapsus$ fournie par l'utilisateur de Twitter @Soufiane Tahiri, on peut supposer que l'accès a peut-être été perdu avant qu'il ne divulgue le code source de Microsoft : "Évidemment, ils ont perdu l'accès, ce qui signifie qu'ils ont peut-être par Microsoft avant les fuites de données , haha !
À cet égard, certains internautes ont convenu : "Je pense aussi qu'ils ont perdu l'accès au code source avant de le divulguer, alors ils ont choisi de publier le code source ".
De plus, certains internautes ont ridiculisé la fuite du code source de Bing et Cortana :
"La fuite du code source de Bing pourrait être la première à causer des dommages négatifs, et Microsoft pourrait voir une augmentation de 5 fois du trafic vers les recherches Google pour 'qu'est-ce que Bing' ."
« Hacker : 'On va sortir le code source de BING', et le monde entier répond indifféremment : 'Oh...' »
"Honnêtement, personne ne veut du code pour ces projets de merde ..."
Des hackers soupçonnés de corrompre des employés d'entreprise ?
Bien que Microsoft ait déclaré que la fuite du code source du projet ne pose pas de risque, on ne sait pas encore si Lapsus$ aura un prochain coup.
En référence aux actions menées par le groupe de hackers contre Nvidia le mois dernier, Lapsus$ peut exiger une rançon de Microsoft, exiger des conceptions de cœur open source, etc. ; mais il peut aussi, comme Samsung, ne divulguer que les données sensibles qu'il a obtenues sans faire d'autres demandes.
Jusqu'à présent, Nvidia, Samsung, Microsoft, Vodafone et de nombreuses autres entreprises technologiques ont été attaquées par Lapsus $. Lapsus $ a également publié une capture d'écran de ce qu'il prétendait être le système interne d'Okta sur Telegram (Remarque : Okta est un outil de vérification et d'identité système) plate-forme de gestion) - Une fois que Lapsus$ aurait réussi à pirater l'entreprise, des milliers d'entreprises dans le monde utilisant les services d'Okta seraient en danger .
Mais bientôt, le responsable de la sécurité d'Okta a répondu en temps opportun : " Les services d'Okta n'ont pas été endommagés et peuvent toujours fonctionner normalement ." Okta a souligné que les droits d'accès de l'ingénieur volés par Lapsus$ ne peuvent qu'aider les utilisateurs à réinitialiser leurs mots de passe mais ne peuvent pas les obtenir. Il n'y a également aucun moyen de "télécharger la base de données clients ou de créer/supprimer des utilisateurs".
Le nombre d'entreprises touchées par Lapsus $ rappelle le piratage tout aussi influent de SolarWinds il y a un an (le package de mise à jour du logiciel SolarWinds Orion a été piraté par des pirates). Mais en revanche, la méthode par laquelle Lapsus$ a réussi à plusieurs reprises cette fois-ci est inconnue.
Dans le billet de blog officiel, Microsoft spécule sur quatre façons possibles d'envahir Lapsus$ :
Déploiement malveillant du voleur de mots de passe Redline pour obtenir des mots de passe et des jetons de session
Acheter des informations d'identification et des jetons de session sur les forums criminels clandestins
Achetez des identifiants d'identité et une authentification multifacteur (MFA) auprès des employés de l'organisation cible (ou du fournisseur/partenaire commercial)
Rechercher des référentiels de code publics pour les informations d'identification exposées
Parmi les quatre approches, de nombreux chercheurs en sécurité s'accordent à dire que Lapsus$ est la plus susceptible « d'acheter des employés d'entreprises cibles pour y accéder. » Lapsus$ a précédemment annoncé qu'elle espérait acheter l'accès aux systèmes internes des employés de l'entreprise .
Après avoir obtenu l'accès initial, Lapsus$ vole des informations sensibles en exploitant les vulnérabilités sur les serveurs internes ou en trouvant des informations d'identification publiques dans les référentiels de code et les plates-formes de collaboration pour les privilèges élevés.
Comment renforcer la sécurité du système ?
Les cyberattaques de Lapsus$ étant difficiles à prévenir, comment les entreprises peuvent-elles les prévenir ? En réponse à ce problème, Microsoft a résumé quelques suggestions de référence.
Renforcer les paramètres MFA (Multi-Factor Authentication)
Selon l'équipe de sécurité de Microsoft, malgré les tentatives infructueuses de Lapsus$ pour identifier les vulnérabilités dans MFA, MFA reste un pilier clé pour assurer la sécurité des employés, des fournisseurs et d'autres identités similaires.
Microsoft recommande aux utilisateurs de n'importe où, même du système local, de configurer MFA, d'essayer de définir des mots de passe complexes et de ne pas simplement utiliser la méthode MFA basée sur des codes de vérification mobiles , car la carte SIM peut également être piratée.
Accès sécurisé aux appareils
Les entreprises doivent identifier les périphériques sûrs et fiables qui accèdent aux ressources sensibles et configurer un logiciel antivirus pour détecter les logiciels malveillants sur le cloud .
Surveillance améliorée de la posture de sécurité du cloud
Parce que Lapsus$ est bon pour utiliser des informations d'identification légitimes pour effectuer des opérations malveillantes sur les clients, et parce que les informations d'identification sont légitimes et difficiles à détecter, il est nécessaire de renforcer la surveillance de la posture de sécurité du cloud, comme la vérification des utilisateurs à accès conditionnel et la configuration des risques de session, et les utilisateurs tentent d'effectuer des modifications à haut risque. Configurez des alertes pour examen et plus encore.
Ce qui précède ne sont que quelques suggestions pour "prévenir les problèmes avant qu'ils ne surviennent". Au final, Microsoft espère toujours que les entreprises pourront établir à l'avance un ensemble de procédures de sécurité opérationnelles pour faire face à l'intrusion réelle de Lapsus$ et réduire l'étendue de l'impact au fur et à mesure. autant que possible.
Lien de référence :
https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/
https://www.bleepingcomputer.com/news/microsoft/lapsus-hackers-leak-37gb-of-microsofts-alleged-source-code/
FINIR
— 推荐阅读 —☞小米首款汽车预计2024年量产;英伟达发布首款基于Hopper架构GPU;Java 18 正式发布|极客头条
☞近7成开发者无开源收入、最想操作系统开源、Java最受欢迎 | 揭晓中国开源开发者现状
☞苹果被罚3.1635亿元,因不愿开放第三方支付!
—点这里↓↓↓记得关注标星哦~—"Partager", "J'aime" et "Regarder" en un clic
Atteindre 100 millions de techniciens
