24 март 2022

Da li Lapsus$ ima ključeve za sve kompanije?

Imali smo situaciju sa velikim novinskim naslovima o hakovanju tehnološke firme Kaseya, velikog proizvođača mesa JBS, tehnološkog giganta kompanije Acer od strane ransomware grupe REvil i kompanije koja upravlja najvećim američkim naftovodom – kompanije Colonial Pipeline od strane ransomware grupe DarkSide. Navedeni napadi su okarakterisani kao napadi na kritičnu infrastrukturu i došlo je do velikog pritiska javnosti da se ovi napadi prekinu. Američka administracija je čak raspisala i nagradu za informacije koje će pomoći u hapšenju napadača koji se kriju iza imena grupe DarkSide.

 

hacker group Lapsus$
Hakerska grupa Lapsus$; Design by Saša Đurić

Pored toga, američka državna administracija je oštro zahtijevala od Rusije da interveniše. Sva ova medijska pažnja nije odgovarala ransomware grupama, pa su počeli da se javno ograđuju od napada na kritičnu državnu infrastrukturu. Došlo je i  do naglih promjena na Mračnom Internetu na kojem su pojedini forumi zabranili pristup ransomware grupama REvil i DarkSide. Sa druge strane ove grupe se povlače sa scene očekujući da će sa vremenom pritisak javnosti da popusti.  Međutim uskoro je ruski FSB uhapsio 14 osoba povezanih sa  ransomware grupom REvil. Ovim potezom je proučeno da ne postoji sigurno sklonište za  ransomware grupe i da možda nećemo vidjeti uskoro veliki naslov na ovu temu. Ali ne... U zadnje vrijeme grupa koja se krije iza imena Lapsus$ je već hakovala nekoliko velikih kompanija i tako dospjela u centar pažnje. Kada se govori o porijeklu, mnogi eksperti se slažu da je u pitanju grupa sa područja Južne Amerike, koja napada mete visokog profila. Do nedavno nepoznata, počela je da puni novinske članke preko napada na:

 

Brazilsko ministarstvo zdravlja – U decembru prošle godine je pokrenut Telegram kanal na kom je grupa Lapsus$ objavila 9. decembra da je kopirala 50 GB podataka sa sistema u vlasništvu ministarstva zdravlja Brazila, riječ je o zdravstvenim podacima brazilskih državljana. Brazilska vlada tvrdi da ima rezervne kopije ukradenih podatka koji su nakon krađe obrisani sa njihovih servera.

 

Portugalske kompanije – Pred samu Novu godinu ova grupa je izvršila napad na nekoliko kompanija u Portugalu. Medijski konglomerat Impresa sa svim svojim Internet stranicama, popularni novinski nedeljnik Expresso i SIC TV kanali su pogođeni napadom ove grupe. Novinski nedeljnik i televizijska stanica su ostali nedostupni i poslije Nove Godine, a striming mogućnosti Impresa grupe su ozbiljno poremećene.

 

Vodafone – U februaru ove godine na Telegram kanalu ove grupe se pojavila objava da su uspješno hakovali kompaniju Vodafone. Navodno su preuzeli oko 200 GB kompresovanih podatak u ovom napadu, ali nema nekih posebnih detalja o tome šta se nalazi u tim podacima.

 

Data breach
Krađa podataka; Source: Wallpapercave

Nvidia – Krajem februara ova grupa je izvela napad na poznatog proizvođača grafičkih kartica, kompaniju Nvidia. U ovom napadu su došli do 1 TB podatka koji se odnose na dizajn, frimware i intelektualno vlasništvo kompanije. Umjesto zahtjeva za otkup podatka grupa je zahtijevala uklanjanje softverskog ograničenja na njihovim karticama za rudarenje kriptovaluta. Nakon toga su proširi svoj zahtev zahtjevajući od kompanije Nvidia da njihov programski kôd za grafičke kartice postane open source. Uz to su počeli licitaciju ukradenih podatka kompanije sa početnom cijenom od jedan milion američkih dolara.

 

Samsung – Početkom marta grupa Lapsus$ je postavila torrent fajl na svom Telegram kanalu koji navodno sadrži izvorni kôd i algoritme za Samsung uređaje. Kasnije u izjavi kompanije Samsung, potvrđeno je da je došlo do upada u sisteme kompanije i da nisu preuzete lične informacije zaposlenih i kupaca. Motivi u ovom napadu nisu jasni, pošto nije došlo do zahtjeva finansijske ili neke druge prirode.

 

Ubisoft – Par dana poslije napada na Samsung, izvršili su napad na kompaniju koja se bavi proizvodnjom video igara Ubisoft. Napad je izazvao  poremećaj u funkcionisanju Internet servisa kompanije. Lapsus$ nije pružio puno informacija kada je ova vijest objavljena na portalu The Verge, tako da se ne zna koliko su podatak preuzeli i o kojoj vrsti se podataka radi.

 

Microsoft – Nova objava grupe dolazi 20. marta u kojoj na svom Telegram kanalu tvrde da su uspješno napali kompaniju Microsoft. Objavljeni snimci ekrana pokazuju da si imali pristup raznim projektima kompanije, između ostalog Bing i Cortana projektu. Dan kasnije su objavili dio izvornog kôda za Bing, Bing Maps i Cortana projekte.

 

Okta – Kompanija Okta koja pruža usluga autentifikacije stotinama kompanija širom svijeta, kao i američkim državnim agencijama, je pokrenula istragu povodom objave snimka ekrana na Telegram kanalu grupe Lapsus$ od 22. marta. Prema tvrdnjama ove grupe,  oni su uspjeli dobiti administratorski pristup za sistemsko okruženje kompanije Okta, što pokazuje objavljeni snimak ekrana. Kompanija Okta je pojasnila da su napadači imali pristup laptopu inžinjera za podršku kompanije sa kojom sarađuju u periodu od 16. do 21. januara 2022. godine. Takođe, tvrde da u tom slučaju nije došlo do ugrožavanja funkcionalnosti njihovih servisa i da korisnici njihovih usluga ne treba ništa da poduzimaju. Za objavljeni snimak ekrana tvrde da se odnosi isključivo na riješeni incident u januaru i da sada nema novih pokazatelja napada ili neovlaštenog pristupa njihovim servisima. Grupa Lapsus$ tvrdi suprotno, ponavljajući da su isključivo ciljali podatke korisnika ovog servisa.

 

Hacker
Haker, Source: Wallpapercave

Mnogi grupu Lapsus$ opisuju kao ransomware, međutim oni se ne oslanjaju na softver za napad na svoje žrtve. Umjesto toga oni se oslanjaju na insajderske prijetnje i taktike  socijalnog inžinjeringa kao što je phishing. Oni čak otvoreno pozivaju insajdere preko svog Telegram kanal nudeći odgovarajuću finansijsku kompenzaciju, što bi moglo predstavljati veliki dostatni problem organizacijama u borbi protiv sajber napada. Geografski gledano na grupu Lapsus$, prvi napadi su se pojavili u Južnoj Americi i Portugalu, pa neki misli da je u pitanju grupa koja je bazirana u Brazilu. Ipak, mnogo vjerovatnije je da nekoliko članova grupe živi tu, a još vjerovatnije je da se radi o grupi koja ima svoje članove u nekoliko zemalja svijeta. Kada se govori o tome šta ih pokreće, oni u svojoj izjavi kažu da je to isključivo novac i da nemaju veze sa politikom. Takva motivacija obično kod grupa ovog tipa zahtjeva da izbjegavaju veliku pažnju, ali ne i grupa Lapsus$. Na svom Telegram kanali imaju oko 38.000 pratilaca i izgleda da uživaju u potjeri za uzbuđenjima i slavom. Da li će proći kao članovi ransomware grupe REvil, ostaje da vidimo. Do tada, obratiti pažnju na sajber bezbjednost svoje organizacije i implementirati što više mjera zaštite.

Razbijanje Sajber Mitova #3/22

Razbijanje Sajber Mitova #3/22; Design by Saša Đurić Ne možeš vjerovati svemu što pročitaš na Internetu: Tačno! Interne je pun zavjera,...