目前,微软公司和Okta公司都在调查核实黑客组织Lapsus$早先宣称破坏攻击他们系统的说法是否真实。黑客组织Lapsus$声称自己获得了访问Okta公司内部系统的“超级用户/管理员”权限。并且还在Telegram频道发布了近40GB的文件,其中包括了据说来源于微软内部项目以及系统的屏幕截图和源代码。这则令人震惊的消息最早由Vice和路透社报道。
Okta公司周二证实,该公司确实遭受了网络黑客的攻击,且一些用户也受到了不同程度的影响。尽管此次网络安全漏洞的范围尚未明晰,但不容乐观的是漏洞可能是巨大的。根据该公司的说法,他们正在为数亿用户提供网络平台服务,其中就包括了联邦快递、穆迪公司(债权评级机构)、T-Mobile公司(德国电信的子公司)、惠普公司和GrubHub公司(美国大型食品配送公司)等数千家大型公司的员工。
一位微软公司的发言人告诉Threatpost,在公司内部调查时发现一个具有访问权限的公司账户被盗。微软公司的网络安全响应团队正在迅速地对被盗账户进行补救,亡羊补牢,犹未为晚,以防止黑客组织利用该账户进行下一步的活动。该发言人同时表示他们并不将代码的保密性作为唯一地网络安全防范措施,查看源代码的行为与公司内的风险提升并无直接的联系。微软的威胁情报团队在周二发布了一个博客,详细介绍了其观察Lapsus$的活动,微软将其标记为DEV-0537。
“非常令人担忧”
被泄露的Okta屏幕截图内容包括Okta公司Slack频道以及其Cloudflare界面。Lapsus$组织在随后的一条消息中表示,他们仅仅关注Okta的使用客户。
独立安全研究员Bill Demirkapi在推特上表示,屏幕截图所泄露的内容十分令人担忧。LAPSUS$组织似乎已经获得了@Cloudflare租户的访问权限并能够重置员工密码。
Cloudflare公司在周二宣布,该公司不会拿员工的Okta授权权限进行冒险。Cloudflare公司联合创始人兼首席执行官Matthew Prince在推特上表示,他们出于谨慎行事才使用Okta系统对员工身份进行验证。
出于谨慎,我们正在重置过去4个月中更改过员工密码的@Okta凭据。我们绝对不会对网络攻击妥协。但是鉴于Okta公司仅仅是一家从事网络安全验证的公司,如果他们出现了问题,我们也会适时的评估替代他们的方案。
— Matthew Prince 2022年3月22日
网络安全漏洞时间之长令人担忧
Demirkapi从泄露出的屏幕截图发现了另一个可怕之处:即屏幕截图的时间表明日期Lapsus$组织至少于2022年1月21日之前就进入安全系统内部。Demirkapi表示如果日期正确,那就表明Okta公司至少有两个月没有公开承认其内部存在任何违规行为。
屏幕截图非常令人担忧。在图片中,LAPSUS$组织似乎已经获得了@Cloudflare租户的访问权限,并且能够随心所欲地重置员工密码:pic.twitter.com/OZBMenuwgJ。
— Bill Demirkapi(@BillDemirkapi)2022年3月22日
如果这些日期属实,就意味着Lapsus$组织已经黑入Okta公司系统已经长达数月之久,这也表明Lapsus$组织在被发现之前享受了短暂的狂欢。这无疑是事实。
本周二Okta首席执行官Todd McKinnon在推特上表示:在2022年1月Okta公司发觉到一位为Okta的子处理器工作的第三方客户支持工程师试图妥协,但是此事已经由子公司调查并处理了。Okta公司认为,网络中流出的Lapsus$屏幕截图与1月份的事件有关。Okta首席执行官表示:根据他们迄今为止的调查,除了1月份发现的活动与Lapsus$组织有关,并没有其他证据表明存在持续的恶意活动。
我们认为,在线共享的屏幕截图与今年1月份的活动有关。根据我们迄今为止的调查,除了1月份发现的活动外,没有证据表明存在持续的恶意活动。
— Todd McKinnon(@toddmckinnon)2022年3月22日
内部员工参与了吗?
如果上述的日期准确,那么就意味着Lapsus$在3月10日在其电报频道上发布需要帮助的通知很可能成功获得了响应的。该组织发帖声称,它希望能够招募一些公司内部人士来帮助其开展他肮脏的工作。这些公司就有微软公司以及一些其他的大型软件、游戏公司包括苹果公司、IBM公司、EA、一些电信公司包括Telefonica(西班牙电话公司)、ATT(美国电话电报公司)等。
Lapsus$组织3月10日的电报帖子:
我们正在招聘以下员工/内部人员!!!!注意:我们不是在寻找数据,我们正在寻找可以为我们提供VPN或CITRIX接入内部系统的内部人员。“这也就意味着网络犯罪分子可以在内部人士的帮助下渗透进入目标网络。
关于必应、必应地图、Cortana被盗的数据
周一,Lapsus$组织开始分发10GB的压缩档案,这其中据称包含了微软必应搜索引擎、必应地图的内部数据以及该公司语音助理软件Cortana的源代码。
泄露的数据日期为2022年3月20日。
“Bing地图是90%的完整转储。Bing和Cortana约为45%,”Lapsus$在其电报频道上写道。
微软公司承认了这些说法,并表示正在竭尽全力进行调查。
Lapsus$组织调侃了Okta公司的索赔声明
周二,Okta公司首席安全官Davis Bradbury在一份更新的声明中提出了对于Lapsus$组织的索赔,但是在几个小时内该份声明就遭到了调侃。Demirkapi在推特上发布了Lapsus$组织的回击:
LAPSUS$勒索软件集团对Okta的声明做出了以下回应。pic.twitter.com/D6KYQjnKPU
— Bill Demirkapi(@BillDemirkapi)2022年3月22日
除此之外,Lapsus$组织还调侃了Bradbury关于该组织在1月份试图破坏工程师笔记本电脑的描述,Lapsus$组织声称该名工程师并没有提供有效的信息。该团伙还嘲笑Bradbury关于他们在1月份访问工程师帐户的尝试没有成功的说法。“我们仍然不确定这怎么会失败?我们成功登录了超级用户门户网站,并且能够重置密码和登录约95%客户的MFA,这难道不成功?”Lapsus$组织还表示,Okta公司所宣称的相关攻击仅导致有限潜在影响的说法是错误的。他们能够确信重置密码和MFA将导致许多客户端系统完全受损。在这篇文章发布时,Okta公司尚未回应Threatpost对Lapsus$索赔发表评论的请求。
Lapsus$组织发动了更多的攻击
相关信息显示Lapsus$集团发动了越来越多的高调攻击。在去年12月,它袭击了巴西卫生部,推翻了数个在线实体,成功删除了巴西公民新冠肺炎疫苗接种数据的信息,并破坏了签发数字疫苗接种证书的系统。最近,Lapsus$削弱了葡萄牙媒体巨头Impresa;攻击英伟达,使用代码签名证书以用于签署恶意软件,从而使恶意程序能够跃过Windows系统内部的安全保护措施;以及他们宣传从三星窃取的大量专有源代码;攻击了刺客信条电子游戏开发商育碧公司。据《安全周刊》报道,周一,该组织还声称攻击了电子巨头LGE。
Lapsus$是一张万用牌
供职于网络安全公司GuidePoint Security的防勒索软件专家兼首席威胁情报分析师Drew Schmitt,其依靠多年与勒索软件谈判和威胁情报工作的经验,与该组织能够直接进行交流互动。
他在周二告诉Threatpost,该组织是一张万用牌(万用牌:扑克牌游戏的转用术语,先指不可事先预知,但是又能在何时时机发挥重要影响)。因为黑客组织不会出于勒索目的对文件或数据进行加密,而是利用泄露敏感数据来将其用于主要勒索工作。他认为,勒索目的的不同使Lapsus$组织与来自Conti、Lockbit等团体使用的传统勒索软件方法相区分。同时他也指出Lapsus$组织与传统勒索软件组织的另一个不同之处在于,他们使用Telegram进行通信和敲诈勒索,而不是使用TOR服务托管的网站泄漏信息。
此外,他还认为,根据3月11日该组织针对内部人士的招募信息可以发现他们对于目标的初始访问方式是非正统的。Schmitt认为,Lapsus$组织显然是独立运作的,与其他网络犯罪/勒索软件辛迪加或民族国家赞助无关。当然随着对于该组织的分析,上述的判断可能会发生改变。由于这个群体在过去几周中声名狼藉,Schmitt以及他的同事可能会通过新的情报来表明该组织与其他已知群体、辛迪加有所关联。
Schmitt说,Lapsus$正在改变勒索软件的游戏方式。他们没有采用传统的初始访问方法,远离文件加密等手段,并偏离传统的泄漏网站基础方法。他预测这些变化可以被更传统的勒索软件团体所借鉴采纳。
他们的目的不仅于此
据安全专家称,Lapsus$组织对Okta的举动清楚地表明他们的目的不仅仅停留在勒索的目的。前政府安全分析师、第三方风险管理公司CyberGRX的现任首席信息安全官 Dave Stapleton认为,Lapsus$组织希望提高其知名度——最好能够招聘到大型科技公司内部愿意出售远程访问的人士。他于周二告诉Threatpost,另一次影响深远的供应链攻击也可能是由其发动。
Stapleton通过接受电子邮件采访时认为:虽然目前细节很少,但很明显,这位攻击者正在努力打出自己的旗帜,以便继续提高他们的知名度和地位,这将有利于他们招聘到愿意出售主要技术公司和ISP远程访问的内部人士。通过他们对Okta的最新活动可以发现Lapsus$集团本质上是在向潜在新人宣传他们的运作方式。
鉴于Okta公司是世界各地组织的重要身份提供商,Stapleton担心这是对于丰田等公司生产供应链攻击的组成部分。他相信Okta的客户会对此事件进行密切关注。这次影响深远的供应链攻击的威胁当然引起了我的注意。
Breakwater Solutions的董事总经理Kevin Novak认为Okta后台漏洞的范围可能极为有限。否则鉴于Okta庞大的客户群,他们现在应该已经知道了事情的发生。他说:“虽然有些人猜测这次黑客组织的成功攻击是否使得人们发现了Okta后台存在的漏洞,但到目前为止,Okta后台的全面妥协似乎已经变得更加明显,但在未来几个月内,我们也会持续关注。”
Novak指出:“如果Okta的妥协会导致Lapsus$等组织对于客户信息的攻击,比如泄露客户凭证、关键材料或与可能导致客户妥协的环境相关的源代码,那么Okta可能会因为缺乏对事件的充分了解、未能及时通知而受到该领域的更大审查。”
我们该如何应对
显然到目前为止Okta漏洞未能得到及时弥补。但尽管如此,我们的公司现在可以采取一些措施来保护其员工和网络。Expel全球运营总监Jon Hencinski告诉Threatpost,立即采取的预防措施包括生成具有特权的Okta密码和Okta令牌,以及审查Okta过去四个月的管理员身份验证和活动。
他提供了以下其他提示:
- 更改审查配置以确保它们与预期行动和来源保持一致。
- 审查管理员身份验证信息并确保它们来源于数据源用户。
- 找出在同一时期内被MFA禁用的Okta账户,并确定此类用户被禁用的根本原因,然后再为这些帐户重新启用MFA。
- 在审查的过程中,及时地与利益相关者坦诚地沟通您正在做的事情和已经做的事情。
- 同时这也是一个测试事件响应计划(IRP)的机会。如果您没有IRP,请创建一个,然后重复地测试它。
“机会永远是留给有准备的人,”Hencinski补充道。
来源:https://threatpost.com/lapsus-data-kidnappers-claim-snatches-from-microsoft-okta/179041/