Microsoft ha confermato che uno dei suoi dipendenti è stato compromesso dal gruppo di hacking Lapsus$, consentendo agli attori delle minacce di accedere e rubare parti del loro codice sorgente.
Ieri sera, la banda Lapsus$ ha rilasciato 37 GB di codice sorgente rubato dal server Azure DevOps di Microsoft. Il codice sorgente è destinato a vari progetti Microsoft interni, tra cui Bing, Cortana e Bing Maps.
In un nuovo post sul blog pubblicato stasera, Microsoft ha confermato che uno degli account dei propri dipendenti è stato compromesso da Lapsus$, fornendo un accesso limitato ai repository del codice sorgente. “Nessun codice cliente o dato è stato coinvolto nelle attività osservate. La nostra indagine ha rilevato che un singolo account era stato compromesso, concedendo un accesso limitato.
I nostri team di risposta alla sicurezza informatica si sono rapidamente impegnati per correggere l’account compromesso e prevenire ulteriori attività”, ha spiegato Microsoft in un advisory sugli attori delle minacce Lapsus$. “Microsoft non fa affidamento sulla segretezza del codice come misura di sicurezza e la visualizzazione del codice sorgente non porta ad un aumento del rischio. Le tattiche UTILIZZATE DA DEV-0537 in questa intrusione riflettono le tattiche e le tecniche discusse in questo blog.
“Il nostro team stava già indagando sull’account compromesso sulla base dell’intelligence sulle minacce quando l’attore ha rivelato pubblicamente la propria intrusione. Questa divulgazione pubblica ha intensificato la nostra azione consentendo al nostro team di intervenire e interrompere l’attore a metà operazione, limitando un impatto più ampio”.
Sebbene Microsoft non abbia condiviso il modo in cui l’account è stato compromesso, ha fornito una panoramica generale delle tattiche, delle tecniche e delle procedure (TTP) della banda Lapsus osservate in più attacchi.
Concentrarsi sulle credenziali compromesse
Microsoft sta monitorando il gruppo di estorsione dei dati Lapsus$ come “DEV-0537” e afferma che si concentrano principalmente sull’ottenimento di credenziali compromesse per l’accesso iniziale alle reti aziendali.
Queste credenziali vengono ottenute utilizzando i seguenti metodi:
- Distribuzione di Redline password stealer dannoso per ottenere password e token di sessione
- Acquisto di credenziali e token di sessione su forum criminali nel dark web
- Pagamento dei dipendenti di organizzazioni mirate (o fornitori/partner commerciali) per l’accesso alle credenziali e l’approvazione dell’autenticazione a più fattori (MFA)
- Ricerca di credenziali esposte nei repository di codice pubblico
Redline password stealer è diventato il malware di scelta per rubare le credenziali ed è comunemente distribuito attraverso e-mail di phishing, watering holes, siti warez e video di YouTube.
Una volta che Laspsus$ ottiene l’accesso alle credenziali compromesse, lo utilizza per accedere ai dispositivi e ai sistemi pubblici di un’azienda, tra cui VPN, infrastruttura desktop virtuale o servizi di gestione delle identità, come Okta, che hanno violato a gennaio.
Microsoft afferma di utilizzare attacchi di session replay per gli account che utilizzano MFA o attivano continuamente notifiche MFA fino a quando l’utente non si stanca confermando l’autorizzazione ad accedere. Microsoft afferma che in almeno un attacco, Lapsus$ ha eseguito un attacco di scambio SIM per ottenere il controllo dei numeri di telefono e dei messaggi SMS dell’utente per ottenere l’accesso ai codici MFA necessari per accedere a un account.
Una volta ottenuto l’accesso a una rete, gli attori delle minacce utilizzano AD Explorer per trovare account con privilegi più elevati e quindi scegliere come target piattaforme di sviluppo e collaborazione, come SharePoint, Confluence, JIRA, Slack e Microsoft Teams, in cui vengono rubate altre credenziali.
Il gruppo di hacking usa anche queste credenziali per ottenere l’accesso ai repository del codice sorgente su GitLab, GitHub e Azure DevOps, come abbiamo visto con l’attacco a Microsoft.
“DEV-0537 è anche noto per sfruttare le vulnerabilità in Confluence, JIRA e GitLab per l’escalation dei privilegi”, spiega Microsoft nel loro rapporto.
“Il gruppo ha compromesso i server che eseguono queste applicazioni per ottenere le credenziali di un account privilegiato o eseguire nel contesto di detto account e scaricare le credenziali da lì.” Gli attori delle minacce raccoglieranno quindi dati preziosi e li esfiltrano sulle connessioni NordVPN per nascondere le loro attività mentre eseguono attacchi distruttivi all’infrastruttura delle vittime per attivare le conseguenti procedure di incident response.
Gli attori delle minacce monitorano quindi queste procedure attraverso i canali Slack o Microsoft Teams della vittima.
Protezione contro Lapsus$
Microsoft consiglia alle aziende di eseguire i passaggi seguenti per proteggersi da attori di minacce come Lapsus$:
- Rafforzare l’implementazione dei sistemi di MFA
- Utilizzo di endpoint integri e attendibili
- Sfruttare le opzioni di autenticazione moderne per le VPN (MFA)
- Rafforzare e monitorare il livello di sicurezza del cloud
- Migliorare la consapevolezza degli attacchi di social engineering
- Stabilire processi di sicurezza operativi in risposta alle intrusioni DEV-0537
Lapsus$ ha recentemente condotto numerosi attacchi contro l’azienda, compresi quelli contro NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre e ora Microsoft.
Pertanto, si consiglia vivamente agli amministratori di sicurezza e di rete di acquisire familiarità con le tattiche utilizzate da questo gruppo leggendo il rapporto di Microsoft.
Problem Solver e Cyber Security Advisor, si occupa di sicurezza informatica e di Ethical Hacking da oltre 20 anni.
Da diversi anni tiene corsi di Ethical Hacking e consapevolezza della sicurezza informatica formando centinaia di persone nell’IT e migliaia di risorse aziendali.
Tre caratteristiche che lo distinguono:
La passione/ossessione per le password
Ha chiamato Hash anche il suo gatto
Il papillon
Colore preferito? Verde, ovviamente!
