继英伟达、三星、育碧...后,南美黑客 LAPSUS$ 再次攻击(黑进)大厂
微软疑似被黑
上周日,南美黑客组织 LAPSUS$ 在Telegram上发布一张内部源代码的截图。
据相关报道,截图内容主要是Azure DevOps一个存储器的数据,其中包含了Cortana和各种Bing项目的源代码。
部分有关Bing和Cortana项目源代码的DevOps资源
-
Bing_STC-SV:项目包含硅谷办公室各种Bing工程项目的源代码
-
Bing_Test_Agile:使用敏捷模板的Bing的测试项目
-
Bing_UX: Bing.com前台(SNR)和其他相关的用户体验代码库
-
BingCubator :BingCubator团队
-
Bing-源代码:用于存储所有Bing源代码的中心项目
-
Compliance_Engineering: WebXT合规工程团队项目
-
Cortana: 所有与Cortana相关的代码和工作项目
不过,该帖子在发布后几分钟随即自行删除,并补发一条消息
——" 暂时删除,稍后再发布。"
南美黑客团伙 LAPSUS$
—— “惊艳”履历表
近年,因袭击NVIDIA和三星电子备受关注,LAPSUS$ 获得了全球性知名度。这个近两年声名鹊起的南美黑客组织,此先主要活动记录均是针对葡萄牙语国家的电脑系统攻击。
袭击名单,即 LAPSUS$ 的履历表包括:
巴西卫生部、葡萄牙最大媒体集团、南美电信公司,葡萄牙议会 ... 等等...
接下来,LAPSUS$ 改变了自己的方向,将目标锁定一众大厂,从EA游戏、英伟达、三星、沃达丰、育碧 ...
1、一众被攻击 targets 中,损失最惨重的NVIDIA,被放出源代码文件大小高达75GB。
2、三星:泄露包含机密源代码文件接近190GB,如:用于敏感操作的三星Trust Zone 环境中安装的每个受信任小程序的源代码、生物特征解锁设备算法、最新三星设备的引导加载程序源代码、三星激活服务器的源代码、用于授权和验证三星帐户的技术的完整源代码(包括 API 和服务)等。
3、2022年3月育碧被黑,LAPSUS$ 没有直接声称对此负责,但在Telegram上用笑脸暗示自己是幕后主使。
4、... ...
微软被攻击后的应对
此次被攻击后,微软在一份声明中回应正在调查 Azure DevOps 源代码存储库的事件,并强调源代码泄露不会增加其产品的安全风险。
" 我们知道这些说法,正在调查中ing "
虽然源代码的泄露会让软件中的漏洞更容易被发现,但微软此前曾在其白板墙关于SolarWinds攻击者获得源代码的博文中表示:
“在微软,我们有开发内部源码的独特方式,通过类似开源界的文化、从开源界得来的最佳经验,来开发微软内部的源码。这意味着我们不依靠源代码的保密性来保证产品的安全,我们的威胁模型假定攻击者对源代码有了解。所以查看源代码并不与风险的提升挂钩。”
这意味着微软的威胁模型假定威胁者已了解他们的软件是如何工作的,通过逆向工程解析或者是源代码泄露,都不会造成风险的提升。
但是,存储库还包含访问令牌、凭据、API密钥、代码签名证书。所以一旦被入侵,这些数据可以被任何访问它的人掌握并作为威胁的筹码,增加了存储库的安全风险。
据悉,到目前为止,LAPSUS$ 尚未要求微软提供任何东西。
LAPSUS$ 的“自我简介”
—— 想要建立名声的黑客组织
(注意: 我们不是直接索取数据,我们寻求内部员工提供他们公司的内网VPN或CITRIX的外网接口,或一些AnyDesk的远程登录权限。)
与其他黑客组织不同的是,除了获得金钱收入,LAPSUS$ 频频在社交媒体发声亦想要建立形象。
3月10日,LAPSUS$ 在社交网站发布招聘信息,贴文中描述了要求叛变员工帮助访问目标公司网络的特定方式,并列出希望渗透的公司名单,包括苹果、IBM、微软等。
发布招聘信息后的几天,微软遭到了攻击。
此后,微软开始调查Azure DevOps 源代码存储库。
正是因为访问源代码确实可以让 LAPSUS$ 更容易检测出,微软的产品是否存在可以利用的漏洞。
在一众安全泄露事故中,每个环节都有可能被攻击。
获取源代码分析其可被攻击的漏洞,是其中的一种。针对源代码缺陷的分析亦是安全环节中非常重要的一环。