Взлом Microsoft
После того как хакерская группа Lapsus$ опубликовала исходные коды Bing, Cortana и других продуктов Microsoft, в компании подтвердили, что учетная запись одного из сотрудников была скомпрометирована хакерами, благодаря чему они получили ограниченный доступ к репозиториям с исходниками.
Напомню, что «слив» данных произошел вчера, когда Lapsus$ распространили через торрент архив 7zip, размером 9 Гб, содержащий исходный код более 250 проектов компании. Lapsus$ заявили, что архив содержит 90% исходного кода Bing и примерно 45% кода Bing Maps и Cortana, а издание Bleeping Computer писало, что несжатый архив содержит примерно 37 ГБ исходного кода.
Теперь представители Microsoft, которая отслеживает Lapsus$ под идентификатором DEV-0537, подтвердили факт компрометации.
«В ходе этой активности не пострадали исходные коды или данные клиентов. Наше расследование показало, что одна учетная запись была скомпрометирована, и это помогло [хакерам] получить ограниченный доступ. Наши группы реагирования быстро приступили к исправлению проблемы взломанной учетной записи и предотвращению дальнейших действий [злоумышленников].
Microsoft не считает секретность кода мерой безопасности, то есть просмотр исходного кода не влечет за собой повышение рисков.
Наша команда уже расследовала компрометацию учетной записи, когда злоумышленники публично сообщили о своем вторжении. Это публичное заявление ускорило наши действия, позволив нашим специалистам вмешаться и прервать действия хакеров в середине операции», — рассказывают в Microsoft.
Инструменты и тактики Laspsus$
Хотя в Microsoft не сообщили, как именно была скомпрометирована учетная запись сотрудника, в блоге компании появился обзор тактик и методов, используемых Lapsus$ во время атак. По информации аналитиков, в основном хакеры сосредоточены на получении скомпрометированных учетных данных для первоначального доступа к корпоративным сетям. Логины и пароли они добывают с использованием следующих методов:
- развертывание малвари Redline, ворующей учетные данные и токены сеансов;
- покупка учетных данных и токенов на подпольных форумах;
- взятки сотрудникам целевых организаций (а также их поставщиков и деловых партнеров) за доступ к учетным данным и многофакторной аутентификации;
- поиск учетных данных в общедоступных репозиториях.
Напомню, что стилер Redline давно популярен среди хакеров и считается основным поставщиком учетных данных для нескольких крупных подпольных маркетплейсов в даркнете. Обычно он распространяется через фишинговые письма, атаки типа watering hole, сайты с варезом и видео на YouTube.
После того как Laspsus$ получает доступ к скомпрометированным учетным данным, хакеры используют его для входа в общедоступные устройства и системы компании, включая VPN, инфраструктуру виртуальных рабочих столов или службы управления идентификацией. Microsoft считает, что группировка использует атаки типа session replay для учетных записей, использующих многофакторную аутентификацию, или постоянно инициирует уведомления МФА, пока пользователь не устанет от них и не разрешит вход в систему.
Получив доступ к сети, злоумышленники применяют AD Explorer для поиска учетных записей с более высокими привилегиями, а затем атакуют платформы для разработки и совместной работы, такие как SharePoint, Confluence, JIRA, Slack и Microsoft Teams, также похищая учетные данные. Эти логины и пароли в итоге применяются для получения доступа к репозиториям GitLab, GitHub и Azure DevOps (что произошло во время атаки на Microsoft).
После этого злоумышленники будут собирать ценную информацию и воровать ее посредством NordVPN (чтобы скрыть свое местоположение), одновременно с этим выполняя разрушительные атаки на инфраструктуру жертвы и инициируя процедуры реагирования на инциденты.
«Также известно, что DEV-0537 использует уязвимости в Confluence, JIRA и GitLab для повышения привилегий, — сообщает Microsoft. — Группа скомпрометировала серверы, на которых запущены эти приложения, чтобы получить учетные данные привилегированной учетной записи и работать в контексте указанной учетной записи, похитив данные».
