編譯 | Tina、核子可樂
因工程師被未成年黑客“收買”,微軟、英偉達等多家企業源代碼被批量偷走。
本周,微軟與身份管理平台 Okta 雙雙披露由 Lapsus$ 一手策劃的違規行為。作為網絡犯罪領域的一股“新勢力”, Lapsus$ 專門從大企業處竊取資料,并以公開資料内容為要挾迫使受害企業支付贖金。經過調查發現,該組織不是什麼極具威脅意義的“國家性”組織,其帶頭人不過是一位不足 18 歲的青少年,而且尚未受到正式犯罪指控。
大型企業在安全上投入了萬人團隊、千億資産,擁有高大上的零信任、無密碼認證等方案,卻抵擋不住一位未成年人采用旁門左道進行攻擊。在本文中,我們将一同了解 Lapsus$ 的前世今生,看看他們如何用相對簡單的技術犯下一起起驚天大案。
1
入侵多家企業,公司疲于應付
本周,微軟被證明洩露了 Bing、Cortana 和其他項目的源代碼,大約 37GB ,黑客組織 Lapsus$ 表示其中包含 90% 的 Bing 源代碼以及大約 45% 的 Bing Maps 和 Cortana 語音助手代碼。
洩露的源代碼項目
在最新釋出的一篇博文中,微軟證明受到 Lapsus$ 黑客組織的敲詐,該組織入侵了微軟的某個員工的賬戶,“有限通路”了項目源代碼存儲庫。微軟堅稱,洩露的代碼還沒有嚴重到導緻風險升高,“我們的安全措施不依賴代碼保密”。
微軟一直相當重視企業安全,還曾挖來前亞馬遜高管查理 貝爾,擔任新成立的安全、合規、身份與管理部門,該部門員工預計将超過 1 萬人,占微軟員工總人數(約 20 萬人)的 5%。在網絡安全的投入和收入上,微軟其實已成為網絡安全霸主,但意外的是,投入如此之大,也能被 Lapsus$ 輕易攻破。
在此之前,Lapsus$ 已經洩露了來自 Okta、英偉達、三星和育碧的資料。
Okta 是一家為 FedEx 等提供身份驗證服務的大型公司,據其網站資料表明他們擁有超過 15,000 名客戶。本周二,Okta 确認攻擊者在 2022 年 1 月通路了其員工的一台筆記本電腦,約 2.5% 的客戶可能受到了影響,比如客戶資料已被檢視。
Okta 發表了多次調查進展并進行了網絡研讨會示範,聲稱是第三方客戶支援工程師的帳戶遭到了破壞,畢竟擁有多家不同文化的第三方承包商在現在是很正常事情。該賬戶功能有限,黑客僅進行了 5 天時間的通路。但 Lapsus$ 在 Telegram 中寫道,事實上他們對 Okta 的系統進行了數個月的通路,還釋出了内部系統的螢幕截圖,顯示入侵賬戶為超級使用者,能夠修改和通路客戶帳戶。
今年 2 月底,Lapsus$ 公開承認對英偉達進行了網絡攻擊,聲稱擁有來英偉達的大約 1 TB 資料。僅硬體檔案夾就有 250GB,其中包含“所有最近的 Nvidia GPU”的高度機密 / 秘密資料等。
3 月初,黑客組織 Lapsus$ 在此釋出了一張三星軟體裡的 C/C++ 指令截圖,随後便對洩密内容進行了公布,包含用于敏感操作的三星 TrustZone 環境中安裝的每個受信任小程式 (TA) 的源代碼、所有生物特征解鎖裝置算法、所有最新三星裝置的引導加載程式源代碼、三星激活伺服器的源代碼、用于授權和驗證三星帳戶的技術的完整源代碼、來自高通的機密源代碼等。3 月 7 日,三星釋出聲明證明了資料洩露事件,資料高達 190G。
3 月 12 日,Ubisoft 釋出公告,聲稱該公司經曆了“網絡安全事件”,雖然攻擊者在破壞公司安全方面的嘗試似乎都失敗了,但育碧還是啟動了全公司範圍的密碼重置作為預防措施。
2
來自微軟的調查結果:通過收買員工成功入侵目标企業
Lapsus$的犯罪“首秀”是在 2021 年 12 月,當時的勒索對象是巴西衛生部。在随後的幾個月中,随着 NVIDIA、三星和沃達豐等多家知名企業進入受害者名單,Lapsus$的名頭也是越來越響。
3 月 22 日(本周二),Lapsus$又通過自己的 Telegram 頻道放出最新消息,稱正在釋出竊取自微軟的源代碼。微軟方面在周二的博文中表示 Lapsus$ 的下載下傳操作被中途攔截,是以并未拿到完整源代碼。之是以能夠及時發現,是因為 Lapsus$ 在下載下傳尚未結束時就開始“慶功”、在 Telegram 頻道上公開讨論起這次非法入侵活動。
Lapsus$ 小組的一名成員在 Telegram 頻道上承認,當時從微軟處下載下傳源代碼的操作确被截斷。
微軟在博文中寫道,“對方的公開披露提醒我們及時更新保護措施,微軟團隊得以幹預并打斷了對方的資料下載下傳。在調查中,我們發現有一個賬戶遭到盜用,導緻對方獲得了有限的通路權限。”從這次事件看,Lapsus$ 似乎很像那種初出茅廬、迫切想闖出一番名号的毛頭小子——但恰恰相反,Lapsus$ 的攻擊政策相當成熟、值得企業安全部門高度關注。微軟表示,Lapsus$(微軟内部将其定名為 DEV-0537,典型的工程師命名方法)主要通過社會工程實作非法入侵。具體來講,Lapsus$ 會對目标組織及其合作夥伴(例如客服中心和服務台)的員工展開賄賂或欺詐,借此擷取内部通路權限。
微軟寫道,“微軟公司發現了該團夥通過收買員工(或來自供應商 / 業務合作夥伴的員工)成功入侵目标組織的情況。”
博文進一步補充道:
“DEV-0537 還釋出廣告,表示他們願意購買針對特定攻擊目标的憑證,明目張膽地拉攏内部員工或承包商。要達成交易,同謀一方必須提供自己的登入憑證并通過多因素驗證(MFA)提示,或者替該團夥在公司工作站上安裝 AnyDesk 或其他遠端管理軟體,借此幫助攻擊者獲得對已驗證系統的控制權。除此之外,對于目标組織及其服務商 / 供應鍊之間安全通路與業務關系,DEV-0537 還準備了其他多種破壞方式。”
目前,Lapsus$ 的 Telegram 頻道已經擁有 45000 多名訂閱者。微軟指出,Lapsus$ 曾在該頻道中釋出一則廣告,希望招募各主要手機廠商、大型軟體與遊戲公司、托管服務企業以及客服中心的内部員工。
有消息人士告訴我們,至少自 2021 年 11 月以來,Lapsus$ 就一直通過各個社交媒體平台收買企業内部員工。去年,Lapsus$ 團夥的核心成員之一就曾經使用“Oklaqq”和“WhiteDoxbin”等昵稱在 Reddit 上釋出招聘資訊,表示願意為 AT&T、T-Mobile 以及 Verizon 的員工開出每周 2 萬美元的價碼,換取對方為其執行某些“内部工作”。
Lapsus$ 核心成員 Oklaqq(又名 WhiteDoxbin)曾提出以 2 萬美元每周的價碼,收買美國各主要移動營運商的内部員工。
Lapsus$ 的相當一部分招聘廣告是用英語和葡萄牙語撰寫的。根據網絡情報公司 Flashpoint 的解釋,該團夥的大部分受害者(其中 15 家)也都集中在南美洲與葡萄牙。
Flashpoint 在分析報告中寫道,“Lapsus$ 目前并未營運任何明網 / 暗網洩密網站或傳統社交媒體賬戶——他們僅通過 Telegram 與電子郵件實作營運溝通。Lapsus$ 似乎經驗老到,正發起一波又一波引人注目的資料洩露事件。該團夥宣稱并未接受國家層面的支援,是以其背後的營運者很可能經驗豐富、也展現出了深厚的技術知識與能力。”
微軟則提到,Lapsus$ 之是以想要從目标組織員工的個人電子郵箱賬戶下手,是因為他們清楚目前大部分員工都會配合 VPN 來遠端通路雇主網絡。
微軟寫道,“在某些情況下,Lapsus$ 會首先針對并奪取個人或私人(非工作相關)賬戶,靜待對方完成通路後再搜尋可用于通路企業系統的其他憑證。考慮到員工經常會使用個人賬戶或号碼作為雙因素驗證或密碼恢複方法,是以該團夥也決定借此實作密碼重置和賬戶恢複操作。”在其他一些情況下,Lapsus$ 也曾經緻電目标組織的服務台,試圖用話術誘導技術支援人員重置高權限賬戶的憑證。
微軟還解釋道,“該團夥會派出一位以英語為母語的成員,使用之前收集到的資訊(例如個人資料圖檔)與客服人員交談,借此增強社會工程的效力。從已經觀察到的情況來看,DEV-0537 會嘗試回答恢複提示問題,例如‘您居住的第一條街道’或者‘母親的本姓’,借此博取客服人員的信任。目前不少組織都采用外包形式的客戶服務,DEV-0537 的政策正是要利用這種斷裂關系、欺騙客服人員交出手中的權限提升能力。”
Lapsus$ 通過 Telegram 頻道招募企業内部員工。
3
通過換手機卡繞過安全機制
微軟提到,Lapsus$ 還用換手機卡的方式通路過目标組織的關鍵賬戶。期間,攻擊者會以賄賂或誘導的方式讓移動營運商的員工将目标手機号碼轉移到他們指定的裝置中。以此為基礎,攻擊者就能獲得通過短信或電話發送給受害者的一次性密碼,并借此重置以短信形式進行驗證的線上賬戶密碼。
微軟寫道,“他們的政策包括呼叫形式的社會工程、換手機卡以實作賬戶接管、通路目标組織員工的個人電子郵箱賬戶、收買目标組織的員工 / 供應商 / 業務合作夥伴以擷取通路憑證并通過多因素驗證(MFA)、并在目标已經發現威脅後入侵其緊急溝通呼叫。”
Unit 221B 是一家來自紐約的網絡安全咨詢企業,公司首席研究官 Allison Nixon 一直密切關注手機換卡這類網絡犯罪活動。Nixon 曾與安全廠商 Palo Alto Networks 開展合作,在 Lapsus$ 成立之前就跟蹤過其中幾位成員。根據長期研究,他們發現該團夥一直在利用社會工程技術腐蝕各大移動營運商的内部員工與承包商。
Nixon 解釋道,“Lapsus$ 可能是第一個‘另辟蹊徑’的幫派,也讓整個世界都意識到電信營運體系并不是鐵闆一塊、其中存在着諸多可資利用的‘軟目标’。在此之前,網絡幫派很少會這樣考慮問題。”
微軟指出,Lapsus$ 還曾經部署“Redline”密碼竊取軟體、在公共代碼 repo 中搜尋暴露密碼、以及從犯罪論壇處購買憑證和會話令牌。總之,隻要能夠成功侵入受害者組織,Lapsus$ 對具體攻擊思路并不挑剔。
另外還有個有趣的點。Nixon 發現,Lapsus$ 團夥中至少有一名成員似乎參與了去年針對遊戲開發商 EA 的入侵,勒索方表示如果不支付贖金、就會公開 780 GB 遊戲源代碼。在接受媒體采訪時,黑客們宣稱他們用于通路 EA 資料的 EA Slack 頻道身份驗證 cookie 是從 Genesis 暗網市場上買來的。
根據當時媒體的報道,“黑客們表示,他們使用身份驗證 cookie 僞裝成已經登入的 EA 員工賬戶、進而接入了 EA Slack 頻道。之後,他們又欺騙 EA IT 支援人員交出了公司内部網絡的通路權限。”
為什麼 Nixon 敢斷言 Lapsus$ 大機率就是 EA 攻擊事件的幕後黑手?因為前文招聘資訊截圖中出現的“WhiteDoxbin/Oklaqq”似乎正是 Lapsus$ 團夥的上司者,而且曾在多個 Telegram 頻道中使用過多種昵稱。但 Telegram 有一項功能,會将同一賬戶下的所有昵稱劃歸相同的 Telegram ID,是以可以看出這背後指向的都是同一個人。
早在 2021 年 5 月,WhiteDoxbin 的 Telegram ID 就曾經在 Telegram 服務上建立賬戶,用于發起分布式拒絕服務(DDoS)攻擊,當時他們将自己稱為“@breachbase”。去年 EA 被黑的消息最早正是由使用者“Breachbase”在英語黑客社群 RaidForums 上釋出、并在地下網絡犯罪分子中引發強烈反響的。順帶一提,RaidForums 網站最近已經被 FBI 查封。
4
帶頭大哥居然是一位未成年人?
Nixon 提到,作為比較明确的 Lapsus$ 帶頭大哥,WhiteDoxbin 跟去年買下 Doxbin 網站的買家基本就是同一個人。Doxbin 是個純文字網站,任何人都可以在其中釋出資訊,也可以随時查詢數十萬已經公開的“人肉搜尋”資料。
很明顯,Doxbin 的這位新主人表現不佳,導緻網站多位核心成員毫不客氣地對其管理能力批判了一番。
Nixon 提到,“此人絕對不是個好管理者,甚至無法讓網站維持正常運作。Doxbin 社群對此相當不滿,于是開始針對 WhiteDoxbin、甚至進行騷擾。”
Nixon 還指出,2022 年 1 月 WhiteDoxbin 不情願地放棄了對 Doxbin 網站的控制權,将論壇折價賣回了之前的所有者。但就在放棄所有權之前,WHiteDoxbin 通過 Telegram 向公衆洩露了整個 Doxbin 資料集(包括尚未正式釋出、僅作為草稿儲存的私人搜尋結果)。
Doxbin 社群自然對此反應激烈,并對 WhiteDoxbin 本人展開一場堪稱史上最徹底的“人肉搜尋”,甚至公開了一張據稱是他本人在英國的家附近拍下的夜遊照片。
根據 Doxbin 使用者們的說法,WhiteDoxbin 的錢來自買賣零日漏洞——也就是各類流行軟體與硬體中存在的、但連開發商都沒有察覺的安全漏洞。
Doxbin 上的資料顯示,“他在慢慢賺到錢後,又進一步擴大了漏洞利用範圍。幾年之間,他的淨資産已經細讀超過 300 比特币(接近 1400 萬美元)。”
2020 年,WhiteDoxbin 又在 RaidForums 上以 Breachbase 的身份亮相。他們拿出價值 100 萬美元的比特币,打算批量收購來自 Github、Gitlab、Twitter、Snapchat、Cisco VPN、Pulse VPN 等各類遠端通路 / 協作工具中的零日漏洞。
Breachbase 曾于 2020 年 10 月在 Raid Forums 上發帖稱,“我的首批預算是價值 10 萬美元的比特币,任何提供有價值資訊的人都能拿到 1 萬美元比特币。另外,如果你認識有其他人或者地方在出售這些資訊,也請回複。注意:你提供的零日漏洞必須具有高 / 重大影響。”
但目前 WhiteDoxbin 的真實姓名并未被公開,理由是他還是個未成年人(目前 17 歲)、而且尚未受到正式犯罪指控。但 Doxbin 的人肉搜尋條目中已經包含 WhiteDoxbin 家庭成員的個人資訊。
Nixon 表示,在組織 Lapsus$ 之前,WhiteDoxbin 曾經是某自稱“Recursion Team”網絡幫派的創始成員。根據網站歸檔資訊,該團夥主要參與手機換卡及“假報警”攻擊,即虛構炸彈威脅、人質劫持等暴力場景向警方上報,誘導對方前往預先設計的緻命埋伏。
Recursion Team 現已解散,但他們遺下的網站這樣寫道,“我們由網絡愛好者組成,主修安全滲透、軟體開發與僵屍網絡等技能。我們的計劃大有可為,期待着你的加入!”
參考連結:
https://www.bleepingcomputer.com/news/microsoft/lapsus-hackers-leak-37gb-of-microsofts-alleged-source-code/
https://www.theverge.com/2022/3/22/22990637/okta-breach-single-sign-on-lapsus-hacker-group
https://twitter.com/theprincessxena/status/1506647842424856580
https://twitter.com/_MG_/status/1506109152665382920
https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/