Microsoft ha confirmado que fue violado por el grupo de hackers Lapsus$.
En una publicación de blog el martes , publicada horas después de que Lapsus$ publicara un archivo torrent que contenía un código fuente parcial de Bing, Bing Maps y Cortana, Microsoft reveló que el grupo de piratas informáticos comprometió la cuenta de un solo empleado, otorgando a los atacantes ” acceso limitado” a los sistemas de Microsoft y permitir el robo del código fuente de la empresa.
Microsoft agregó que no se comprometió ningún código o datos del cliente.
“Nuestros equipos de respuesta de seguridad cibernética se comprometieron rápidamente a remediar la cuenta comprometida y evitar más actividad”, dijo Microsoft. “Microsoft no confía en el secreto del código como medida de seguridad y ver el código fuente no conduce a una elevación del riesgo. Nuestro equipo ya estaba investigando la cuenta comprometida en base a inteligencia de amenazas cuando el actor reveló públicamente su intrusión. Esta divulgación pública intensificó nuestra acción, lo que permitió que nuestro equipo interviniera e interrumpiera al actor en medio de la operación, lo que limitó un impacto más amplio”.
Microsoft no ha compartido más detalles sobre cómo se comprometió la cuenta, pero proporcionó una descripción general de las tácticas, técnicas y procedimientos del grupo Lapsus $, que el Centro de inteligencia de amenazas de la compañía, conocido como MSTIC, ha observado en múltiples ataques. Inicialmente, estos ataques se dirigieron a organizaciones en América del Sur y el Reino Unido, aunque desde entonces Lapsus$ se ha expandido a objetivos globales, incluidos gobiernos y empresas en los sectores de tecnología, telecomunicaciones, medios, comercio minorista y atención médica.
El grupo, que el gigante tecnológico está rastreando como DEV-0537, opera con un “modelo puro de extorsión y destrucción” y, a diferencia de otros grupos de piratería, “no parece cubrir sus huellas”, según Microsoft, probablemente un guiño a el reclutamiento público por parte del grupo de miembros de la empresa para ayudarlo a llevar a cabo sus ataques dirigidos. El grupo utiliza una serie de métodos para obtener acceso inicial a una organización, que generalmente se enfocan en comprometer las identidades y cuentas de los usuarios. Además de la contratación de empleados en organizaciones específicas, esto incluye la compra de credenciales de los foros dark web , la búsqueda de repositorios públicos para credenciales e implementando el ladrón de contraseñas Redline.
Lapsus$ luego usa credenciales comprometidas para acceder a un objetivo. los dispositivos y sistemas conectados a Internet de la empresa, como redes privadas virtuales, infraestructura de escritorio remoto o servicios de administración de identidades, como Okta, que el grupo de piratería vulnerado con éxito en enero. Microsoft dice que en al menos un compromiso, Lapsus$ realizó un SIM swap attack para obtener el control del número de teléfono y los mensajes de texto de un empleado para obtener acceso a autenticación multifactor (MFA) códigos necesarios para iniciar sesión en una organización.
Después de obtener acceso a la red, Lapsus utiliza herramientas disponibles públicamente para explorar las cuentas de usuario de una organización para encontrar empleados que tengan mayores privilegios o un acceso más amplio, y luego apunta a plataformas de desarrollo y colaboración, como Jira, Slack y Microsoft Teams, donde más las credenciales son robadas. El grupo de piratería también usa estas credenciales para obtener acceso a repositorios de código fuente en GitLab, GitHub y Azure DevOps, como sucedió con el ataque a Microsoft.
“En algunos casos, DEV-0537 incluso llamó a la mesa de ayuda de la organización e intentó convencer al personal de soporte para restablecer las credenciales de una cuenta privilegiada”, agregó Microsoft. “El grupo usó la información recopilada previamente (por ejemplo, imágenes de perfil) e hizo que una persona que hablaba en inglés nativo hablara con el personal de la mesa de ayuda para mejorar su atractivo de ingeniería social”.
La banda de Lapsus$ instaló una infraestructura dedicada en proveedores de servidores privados virtuales (VPS) conocidos y aprovecha el servicio de red privada virtual para consumidores NordVPN para exfiltrar datos, incluso utilizando servidores VPN localizados que estaban geográficamente cerca de sus objetivos para evitar activar las herramientas de detección de red. Los datos robados luego se utilizan para futuras extorsiones o se divulgan públicamente.
El grupo de piratería Lapsus$ se ha hecho un nombre en las últimas semanas, comprometiendo a varias empresas destacadas, incluidas Nvidia y Samsung. A principios de esta semana, su última víctima fue descubierta como Okta después de que la pandilla publicara capturas de pantalla de los sistemas internos del gigante de la identidad. Okta confirmó la infracción, que dijo que fue el resultado de que Lapsus$ comprometió a un tercero -ingeniero de atención al cliente del partido y dijo que impactó alrededor del 2.5% de sus 15,000 clientes.
Actualmente no está claro por qué Okta no notificó a sus clientes sobre el compromiso, que ocurrió durante un período de cinco días en enero, hasta ahora.
Fuente: Techcrunch
