blog

Wer ist LAPSUS$, die Gang, die Microsoft, Samsung und Okta hackt?


Bild für Artikel mit dem Titel Who is LAPSUS$, the Big, Bad Cybercrime Gang Hacking Tech’s Biggest Companies?

Bild: Issaro Prakalung / EyeEm (Getty Images)

In den letzten drei Monaten hat eine mysteriöse Hackerbande dem Silicon Valley eine Migräne epischen Ausmaßes beschert. LAPSUS$, eine Bande von Cyberkriminellen mit unorthodoxen Techniken und einem Faible für das Dramatische, hat eine weiße, heiße Phase hinter sich – sie hat Technologieunternehmen in Stellung gebracht und sie wie Bowlingkegel umgeworfen.

Die Ziele der Bande sind groß. Microsoft, Samsung, NVIDIA, Ubisoftund zuletzt Identitätsprüfungsfirma Okta, wurden alle gesmotet. Schlimmer noch, in fast allen diesen Fällen hat sich LAPSUS$ tief in die Netzwerke dieser Unternehmen eingeschlichen, wo es dann Teile des Quellcodes gestohlen hat – die digitale DNA proprietärer Software. Danach ließ die Bande den Code fast immer im ganzen Internet durchsickern, brachte das Opfer in Verlegenheit und verschüttete Firmengeheimnisse in den Äther.

Der Scharfsinn der Gruppe hat sie in die innersten Heiligtümer von Multi-Milliarden-Dollar-Unternehmen geführt, aber einige Sicherheitsforscher sagen dass LAPSUS$ letztendlich weniger aus hartgesottenen Cyberkriminellen als aus undisziplinierten Amateuren bestehen könnte. Ein Haufen von ihnen sind angeblich kinder. Am Donnerstag britischen Behörden angekündigt die Festnahme von sieben Personen, die mit der Bande in Verbindung stehen sollen. Die Behörden enthüllten, dass die nicht identifizierten Verdächtigen zwischen 16 und 21 Jahre alt waren. Der Rädelsführer der Bande soll ein 16-jähriger britischer Junge aus Oxford sein. Dieser Hacker, der angeblich unter dem Pseudonym „White“ bekannt ist, scheint seine Identität kürzlich von einer rivalisierenden Cyberkriminalitätsfraktion ins Internet geleakt zu haben. Kurz gesagt: Nach einer Reihe von Siegen und viel Bekanntheit scheint es für LAPSUS$ nicht besonders gut zu laufen.

„Im Gegensatz zu den meisten Aktivitätsgruppen, die unter dem Radar bleiben …[LAPSUS$] scheint seine Spuren nicht zu verwischen“, sagten kürzlich Forscher des Threat Intelligence Center von Microsoft Blogeintrag. „Sie gehen so weit, ihre Angriffe in den sozialen Medien anzukündigen oder ihre Absicht zu bewerben, Anmeldeinformationen von Mitarbeitern der Zielorganisationen zu kaufen …[the gang] verwendet auch mehrere Taktiken, die von anderen Bedrohungsakteuren, die von Microsoft verfolgt werden, weniger häufig verwendet werden.“ Doch genau diese Taktiken machen die Bande so faszinierend.

Die Ransomware-Bande, die keine war

Bevor LAPSUS$ damit begann, einige der größten Unternehmen des Silicon Valley zu hacken, verbrachte LAPSUS$ den Januar 2022 damit, eine ganze Menge jugendlicher Cyberkriminalitäts-Stunts abzuziehen – bei solchen schien es weniger darum zu gehen, Geld zu verdienen, als anarchischen Spaß zu haben. Bei einem ihrer ersten Hacks des Jahres griff die Bande beispielsweise eine brasilianische Autovermietung an und leitete das Geschäft um. Startseite für mehrere Stunden auf eine Porno-Website. Bei einem anderen Vorfall übernahm die Bande den verifizierten Twitter-Account einer portugiesischen Zeitung und getwittert: „LAPSUS$ IST OFFIZIELL DER NEUE PRÄSIDENT VON PORTUGAL.“

Frühe Berichterstattung über LAPSUS$ versucht zu kategorisieren die Gruppe als „Ransomware-Gang“, teilweise aufgrund ihrer Angewohnheit, gestohlene Daten preiszugeben – als Ransomware-Gang sind gewohnt zu tun. Oberflächlich betrachtet mag es so ausgesehen haben, aber es gab nur ein Problem: LAPSUS$ hat Ransomware nie wirklich verwendet.

Die Bande hat rein über eine operiert Erpresser Modell und verzichten vollständig auf Malware. Anstatt die Daten der Opfer zu verschlüsseln, stiehlt LAPSUS$ sie einfach – und droht dann, sie preiszugeben, wenn das Lösegeld nicht bezahlt wird. Es ist eine seltsame, ungeschickte Variante der Ransomware-Industrie Doppeltes Erpressungsmodell– die die doppelte Bedrohung durch Datenverschlüsselung und Datenlecks nutzt, um die Opfer zur Zahlung zu bewegen. Im Allgemeinen arbeiten die meisten Ransomware-Gangs wie Schattenversionen typischer Unternehmen, die ziemlich organisierte und ausgeklügelte digitale Maschinen für Diebstahl und Erpressung einsetzen.

Umgekehrt hat LAPSUS$ wie ein dysfunktionales Startup funktioniert. Ihm hat es in manchen Fällen an Disziplin zum Ausgleich gefehlt Fragen für ein Lösegeld – stattdessen entscheiden Sie sich dafür, eine finanzielle Forderung zu überspringen und die gehackten Daten einfach durchsickern zu lassen die Hölle davon. Microsoft-Sicherheitsforscher haben diesen Stil als „reines Erpressungs- und Zerstörungsmodell“ bezeichnet, eine Wendung, die die chaotische und nicht ganz effektive Vorgehensweise der Gruppe treffend beschreibt.

Chaos anrichten

Ein Bereich, in dem LAPSUS$ eindeutig erfolgreich war, ist das Eindringen – dh seine Fähigkeit, in Netzwerke und Systeme einzudringen. Die Gruppe hat eine Reihe bekannter Strategien genutzt, einschließlich die Verwendung einer passwortstehlenden Malware namens „Redline“, eine Vielzahl von soziale Entwicklung Tricks, und der Kauf von Kontoanmeldeinformationen und Sitzungstoken in Darknet-Foren. Gleichzeitig hat die Bande häufig Insider von Zielunternehmen umworben und versucht, sie über Online-Stellenanzeigen abzuwerben. In einem Fall der mutmaßliche Anführer der Gruppe angeboten Mitarbeiter von Verizon und AT&T bis zu 20.000 US-Dollar pro Woche, um zu seiner kriminellen Operation überzulaufen und „Insider-Jobs“ durchzuführen.

Die verschiedenen Methoden von LAPSUS$, seine Ziele zu pwnen, waren bemerkenswert erfolgreich. Sein Hack von Microsoft ist zum Beispiel geglaubt zu haben eine Fülle von Daten kompromittiert, darunter 90 Prozent des Quellcodes der Suchmaschine Bing sowie fast die Hälfte des Quellcodes von Bing Maps und der virtuellen Assistentin Cortana. Der Angriff der Bande auf Okta könnte unterdessen Auswirkungen auf Unternehmen haben, die über die Identitätsprüfungsfirma selbst hinausgehen. Da Okta seine Sicherheitsdienste an Tausende anderer Unternehmen verkauft, hat eine Kompromittierung seiner Systeme auch Auswirkungen auf die Sicherheit seiner Kunden. Im ein Update Am Mittwoch gab Okta zu, dass die Daten von so viele wie 366 seiner Kunden waren potenziell von der jüngsten LAPSUS$-Attacke betroffen.

Bekanntheit suchen

Bild für Artikel mit dem Titel Who is LAPSUS$, the Big, Bad Cybercrime Gang Hacking Tech’s Biggest Companies?

Bildschirmfoto: Lucas Ropek/Telegramm

Ein weiterer Hinweis auf die auffälligen, aber potenziell rücksichtslosen Tendenzen der Bande liegt in ihrem einzigartigen Leckvektor. LAPSUS$ verwendet die halbverschlüsselte Chat-App Telegramm– nicht typisch für die meisten Cyberkriminalitätsbanden. Die meisten Ransomware-Hacker richten ihre eigenen „Leckstellen“, wo sie gehacktes Material kuratieren und damit drohen können, mehr freizugeben, wenn ihr Opfer nicht zahlt. Die Standorte sind in der Regel spärliche und kontrollierte Umgebungen.

LAPSUS$ hingegen hat Telegram und andere Social-Media-Konten als eine Art Megaphon eingesetzt – eine Strategie, die es ihm ermöglicht hat, eine lautere, interaktivere Beziehung zur Öffentlichkeit aufzubauen. Die Bande hat derzeit rund 48.000 Telegram-Follower und ermutigt ihre Zuschauer aktiv, Lecks zu kommentieren, mit Mitgliedern per E-Mail zu korrespondieren und im Allgemeinen die Abenteuer des Hackens zu verfolgen.

Dieses Verhalten scheint zu zeigen, dass LAPSUS$ Aufmerksamkeit genießt – möglicherweise sogar mehr als Geld, aber wahrscheinlich weniger als Hacken. Das könnte tatsächlich das Problem der Gruppe sein: Wie viele Anfängerkriminelle scheinen sie sich mehr um Adrenalinschübe und das Rampenlicht zu kümmern als darum, eine effektive Geldmaschinerie zu betreiben.

Amateur Stunde

Cybersicherheitsanalysten, die mit Gizmodo gesprochen haben, sind sich einig, dass LAPSUS$ trotz der Liste beeindruckender Kerben in seinem Gürtel und seiner erfolgreichen Eindringtechniken möglicherweise nicht das engste Schiff fährt. Das heißt, die Bande kann besser hacken als ein kriminelles Geschäft führen (dies würde angeblich einen gewissen Sinn für die Bande ergeben ein Haufen Kinder). Brett Callow, ein Bedrohungsanalyst für das Cybersicherheitsunternehmen Emsisoft, sagte, dass ein Teil des Verhaltens der Bande eindeutig einen Mangel an Effizienz und Organisation zeigt.

„Wären die Angriffe von einer besser organisierten Cybercrime-Operation oder einem staatlich unterstützten Akteur durchgeführt worden, hätte das Ergebnis viel schlimmer sein können“, sagte Callow in einer E-Mail an Gizmodo. „Das soll die Bedrohung, die Gruppen wie LAPSUS$ darstellen können, nicht herunterspielen. Die Tatsache, dass ihre Beweggründe nicht unbedingt so klar definiert sind wie bei anderen Operationen der Cyberkriminalität, kann es schwieriger machen, mit ihnen fertig zu werden.“

Ähnlich Motherboard-Journalist Joseph Cox hat geschrieben über seine Begegnungen mit der Bande, die von bizarr bis geradezu komisch reichen. Um Cox davon erzählen zu hören, wandte sich LAPSUS$ unglücklicherweise an ihn um Hilfe es hat gehackt EA Games letzten Sommer. Die Bande, die sich nicht sicher war, wie sie EA um ein Lösegeld bitten sollte, schien zu glauben, dass Cox, weil er ein Journalist war, mit dem Unternehmen in Verbindung treten und „als Übermittler“ für die finanziellen Forderungen der Bande fungieren könnte.

Andere Analysten stimmen zu, dass LAPSUS$ nicht wirklich weiß, wie man eine Auszahlung sichert – und möglicherweise nicht einmal daran interessiert ist. „LAPSUS$ hat in der Vergangenheit unrealistische Forderungen im Austausch für seine gestohlenen Daten gestellt“, schrieben Bedrohungsforscher von SecurityScorecard kürzlich in einem Blogbeitrag.

„LAPSUS$ scheint weder in der Lage zu sein, einen angemessenen Lösegeldbetrag für die gestohlenen Daten zu bestimmen, noch scheint es seinen Opfern viel Zeit zu geben, eine Zahlung im Austausch dafür auszuhandeln, dass keine Informationen preisgegeben werden“, fügten sie hinzu und erklärten dies , in Wirklichkeit ist die Gruppe „möglicherweise überhaupt nicht finanziell motiviert“. LAPSUS$ kann für den Nervenkitzel Chaos säen und „Forderungen stellen in dem Wissen, dass die Opfer nicht zahlen werden, damit sie dann Aufmerksamkeit und Schande erlangen können, indem sie Daten von hochkarätigen Unternehmen preisgeben,“, schrieben die Forscher.

Gedoxxt und gemeldet

Wenn die Mitglieder von LAPSUS$ wollten Schande, sie scheinen auf jeden Fall darauf zuzusteuern. TDie glücklichen Tage des jubelnden Chaos der Bande könnten jetzt im Rückblick liegen, da die Strafverfolgungsbehörden zunehmend näher rücken. Abgesehen von der Flut von Verhaftungen, die am Donnerstag stattfanden, scheint der mutmaßliche Anführer der Bande auch ein weiteres Problem zu haben: doxxed werden von einer rivalisierenden Cybercrime-Fraktion.

Der fragliche Hacker, der zahlreiche Online-Pseudonyme verwendet, darunter „White“, „Oklaqq“ und „Breachbase“, soll ein 16-jähriger Junge sein, der mit seiner Mutter in der Nähe von Oxford, England, lebt. BBC Berichte dass er auch Autismus hat und eine Sonderschule in Oxford besucht. In Kürze Interview, gab der Vater des Verdächtigen offenbar zu, dass sein Sohn „viel Zeit am Computer verbrachte“, aber „dachte, er würde Spiele spielen“ oder so. Im Januar veröffentlichten die Rivalen des mutmaßlichen Hackers seinen richtigen Namen und andere identifizierende Details über Doxbin, eine umstrittene Website, die speziell dazu verwendet wird, persönliche Daten über Personen preiszugeben. In einem Beitrag auf der Website sagten die Doxxer, dass „White“ über 300 Bitcoins besäße, was einem Nettowert von fast 14 Millionen Dollar entsprechen würde. Sie nannten LAPSUS$ eine „Möchtegern-Ransomware-Gruppe“.

Laut Allison Nixon, Chief Research Officer der Cybersicherheitsfirma Unit 221B, wurde „White“ aufgrund seiner früheren Geschäftsbeziehung mit den Betreibern von Doxbin doxiert. Als Gizmodo sie nach dem angeblichen Durchsickern der Identität des Hackers fragte, bestätigte Nixon, dass eine „rivalisierende kriminelle Gruppe“ schließlich die persönlichen Informationen des Verdächtigen „gefunden und veröffentlicht“ habe. Laut Nixon war Doxbin eigentlich gekauft irgendwann von „White“, aber am Ende war er ein ineffektiver Administrator. Als scheinbare Rache dafür, dass das Gelände „in Verwahrlosung geraten“ ist, die ehemaligen Eigentümer erlangte die Kontrolle über Doxbin zurück und beschloss dann, „White“ wegen seiner schäbigen Managementpraktiken zu verurteilen, sagt Nixon.

Gizmodo hat sich Screenshots des Doxbin-Posts angesehen, aber wir sind nicht Offenlegung die Details, die ihn identifizieren sollen.

Nixon sagte Gizmodo auch, dass ihr Unternehmen fast ein Jahr lang mit einer Reihe anderer Cybersicherheitsfirmen zusammengearbeitet habe, um die Aktivitäten von „White“ zu verfolgen, und dass sie bereits Mitte 2021 die wahre Identität des Hackers aufgedeckt hätten und meldete ihn anschließend der Polizei. Es ist unklar, ob die Strafverfolgungsbehörden seitdem gegen die Bande ermittelt haben oder warum es so lange gedauert hat, bis Verdächtige festgenommen wurden.

Ähnliche Artikel

Überprüfen Sie auch
Schließen
Schaltfläche "Zurück zum Anfang"
%d Bloggern gefällt das: