最近，那個勒索英偉達的Lapsus$，又把微軟給黑了！

在過去幾個月里，Lapsus$可謂是聲名鵲起。

英偉達、三星、沃達豐、育碧等等都慘遭毒手。

而這里面最慘的，就屬英偉達了。

畢竟被放出源代碼，而且文件大小還高達75GB的，也僅此一家。

不過，距離「最后通牒」也已經(jīng)過了小半個月，卻不見Lapsus$有進一步的動作。

對于微軟這家商業(yè)軟件巨頭來說，目前Lapsus$還尚未向提出任何要求。

微軟也難逃厄運

周日清晨，Lapsus$在Telegram上發(fā)布了一張內(nèi)部源代碼庫的截圖，內(nèi)容似乎是從微軟云計算部門Azure的內(nèi)部開發(fā)人員帳戶中黑進去得到的信息。

圖中的Azure DevOps資源庫包含了Cortana和各種Bing項目的源代碼。

Lapsus$表示，Bing地圖的代碼已經(jīng)完成了90%的轉(zhuǎn)儲，Cortana和Bing的代碼完成了45%。

Bing_STC-SV：項目包含硅谷辦公室各種Bing工程項目的源代碼

Bing_Test_Agile：使用敏捷模板的Bing的測試項目

Bing_UX: Bing.com前臺（SNR）和其他相關的用戶體驗代碼庫

BingCubator ：BingCubator團隊

Bing-源代碼：用于存儲所有Bing源代碼的中心項目

Compliance_Engineering: WebXT合規(guī)工程團隊項目

Cortana: 所有與Cortana相關的代碼和工作項目

奇怪的是，勒索團伙在截圖中留下了登錄用戶的首字母「IS」。

這基本上就是直接為微軟指明了被攻擊的賬戶。

不知道是不是意識到了這一點，在發(fā)布截圖后不久，Lapsus$就把帖子撤了下來。

取而代之的是一條信息：「暫時刪除，以后再發(fā)。」

不過，首字母的暴露大概率也意味著Lapsus$不再有訪問存儲庫的權限。

當然，也不排除Lapsus$只是在單方面嘲弄微軟。

眾所周知，Lapsus$對以前的受害者也是如此。

雖然微軟沒有證實他們的Azure DevOps賬戶是否被攻破，但在回復媒體對此事采訪的電子郵件中稱，「我們了解到這些說法，并正在調(diào)查。」

不幸的是，Lapsus$有著「良好」的信用記錄，他們聲稱對其他公司的攻擊后來被證實是真的。不信可以問英偉達。

不過，安全公司Darktrace的全球威脅分析主管Toby Lewis則更為審慎：「除了內(nèi)部開發(fā)人員儀表板的截圖之外，沒有任何進一步的證據(jù)。雖然Lapsus$曾成功地入侵過大型機構，但截圖為我們提供的信息非常少。」

代碼泄露，問題不大

雖然源代碼的泄露會讓軟件中的漏洞更容易被發(fā)現(xiàn)，但微軟此前曾表示，他們的威脅模型假定威脅者已經(jīng)了解他們的軟件是如何工作的，無論是通過逆向工程解析還是以前的源代碼泄露，都不會造成風險的提升。

「在微軟，我們有開發(fā)內(nèi)部源碼的獨特方式，通過類似開源界的文化、和從開源界得來的最佳經(jīng)驗，來開發(fā)微軟內(nèi)部的源碼。這意味著我們不依靠源代碼的保密性來保證產(chǎn)品的安全，我們的威脅模型假定攻擊者對源代碼有了解。」微軟在一篇關于SolarWinds攻擊者獲得其源代碼的博文中解釋道，「所以查看源代碼并不與風險的提升掛鉤。」

不過，源代碼庫通常還包含訪問令牌、憑證、API密鑰，甚至是代碼簽名證書。

當Lapsus$攻破英偉達并發(fā)布他們的數(shù)據(jù)時，它還包括代碼簽名證書，其他威脅者很快就用它來簽署他們的惡意軟件。

而使用英偉達的代碼簽署證書則會導致反病毒引擎信任可執(zhí)行文件，而不將其檢測為惡意軟件。

對此，微軟曾表示，他們有一項開發(fā)政策，禁止將API密鑰、憑證或訪問令牌等「秘密」納入源代碼庫中。

即使是這樣，也不意味著源代碼中沒有包括其他有價值的數(shù)據(jù)，比如私人加密密鑰或其他專有工具等。

目前還不知道這些庫中包含了什么，但正如對以前的受害者所做的那樣，Lapsus$泄露被盜的數(shù)據(jù)只是時間問題。

通過釣魚與直接買密碼攻擊目標

與公眾之前了解的許多勒索集團不同，Lapsus$并沒有在受害者的設備上部署勒索軟件。

相反，他們的目標是大公司的源代碼庫，竊取他們的專有數(shù)據(jù)，然后試圖以數(shù)百萬美元的價格將這些數(shù)據(jù)「賣」給受害公司。

據(jù)稱Lapsus$正在四處招攬大型科技企業(yè)的內(nèi)線，讓這些內(nèi)部員工透露敏感信息。

3月10日在社交網(wǎng)站上寫道，「我們在以下公司招聘員工/內(nèi)部人員！！！！」 ，該聲明隨后列出了它希望滲透的公司名單，其中包括蘋果、IBM 和微軟。

黑客組織在貼文中描述了要求叛變員工幫助訪問目標公司網(wǎng)絡的特定方式：

「請注意：我們不是在直接索取數(shù)據(jù)，我們正在尋找內(nèi)部員工來提供他們公司的內(nèi)網(wǎng)VPN或CITRIX的外網(wǎng)接口，或一些AnyDesk的遠程登錄權限。」

據(jù)網(wǎng)絡安全企業(yè)的推斷，該黑客團伙的攻擊方式除了這種直接購買登陸密碼與接口外，就是經(jīng)典的釣魚攻擊、獲得目標網(wǎng)絡的網(wǎng)絡驗證。

老辦法一般是久經(jīng)考驗的好辦法，這些方式能讓攻擊者在目標網(wǎng)絡中潛伏數(shù)周而不被發(fā)覺。

Lapsus$在黑客團伙中的獨特之處，在于社交媒體建立形象并發(fā)聲。除了錢以外，該組織還想要名聲。

Lapsus$ 并不常對被攻破系統(tǒng)直接加密、進行勒索軟件攻擊，而是威脅要泄露它已經(jīng)竊取的信息，除非受害者乖乖給錢。

該組織要錢的方式與要求時常變幻，應該單純是為名利所驅(qū)動，沒有政治動機或國家級實體贊助者。

但就是這種貪得無厭死要錢的網(wǎng)絡劫匪最不會銷聲匿跡，網(wǎng)絡安全企業(yè)估計它們之后的攻擊會越發(fā)頻繁。

這個自稱只受金錢驅(qū)使的黑客組織，在成功攻擊了巨頭英偉達和三星之后，獲得了自信并擴大了野心。

16歲自閉癥男孩帶隊的團伙？

Lapsus$在黑客界還算是一個「新人」。

2021年年底，Lapsus$的活動被首次曝光，其目標是巴西和葡萄牙的公司。

首先是巴西衛(wèi)生部、葡萄牙媒體公司Impresa、南美電信公司Claro和Embratel，以及葡萄牙議會等等。

不過，據(jù)網(wǎng)友透露，Lapsus$的活動可能要追溯到2021年6月。

在地下論壇帖子中，一位用戶寫道：「針對游戲巨頭EA的黑客攻擊，要歸功于Lapsus$，更多的內(nèi)容會被泄露。」

之后，EA的游戲FIFA 21源代碼被公開。

在2022年3月的育碧被黑事件中，Lapsus$也暗示自己是幕后的主使。

最近的網(wǎng)絡地下世界爭斗，更是為團伙成員的隱秘身份揭開了一角。

據(jù)稱，該組織的頭目是一名居住在英國的16歲自閉癥少年男子。他在Dark web上的常用ID一般是SigmA、wh1te、Breachbase和Alexander Pavlov。

這是在ID為SigmA的用戶在購買doxbin后回售給原網(wǎng)站擁有者不果后被曝出的。在交涉失敗后，有人爆料SigmA就是Lapsus$的頭目，并稱其已被捕。

之后Lapsus$的社交網(wǎng)站頻道辟謠，稱SigmA沒有被捕，如此證實了SigmA/Alexander Pavlov的確是Lapsus$首腦的推測。

網(wǎng)絡安全企業(yè)也發(fā)現(xiàn)，在SigmA擁有doxbin網(wǎng)站時，托管doxbin的子網(wǎng)與托管當時Lapsus$主網(wǎng)站的子網(wǎng)是同一個。

這可真是后生可畏、前途無亮啊……

參考資料：

https://www.bleepingcomputer.com/news/security/microsoft-investigating-claims-of-hacked-source-code-repositories/

https://www.vice.com/en/article/y3vk9x/microsoft-hacked-lapsus-extortion-investigating

https://www.silentpush.com/blog/lapsus-group-an-emerging-dark-net-threat-actor

本文來自微信公眾號“新智元”（ID:AI_era），作者：新智元，編輯：袁榭 好困，36氪經(jīng)授權發(fā)布。