新智元報道

編輯：袁榭 好睏

【新智元導讀】

在不到半年裡，駭客組織Lapsus$四處搞事，從巴西政府黑到英偉達，現在又黑了微軟。

最近，那個勒索英偉達的Lapsus$，又把微軟給黑了！

在過去幾個月裡，Lapsus$可謂是聲名鵲起。

英偉達、三星、沃達豐、育碧等等都慘遭毒手。

而這裡面最慘的，就屬英偉達了。

畢竟被放出原始碼，而且檔案大小還高達75GB的，也僅此一家。

不過，距離「最後通牒」也已經過了小半個月，卻不見Lapsus$有進一步的動作。

對於微軟這家商業軟體巨頭來說，目前Lapsus$還尚未向提出任何要求。

微軟也難逃厄運

週日清晨，Lapsus$在Telegram上釋出了一張內部原始碼庫的截圖，內容似乎是從微軟雲計算部門Azure的內部開發人員帳戶中黑進去得到的資訊。

圖中的Azure DevOps資源庫包含了Cortana和各種Bing專案的原始碼。

Lapsus$表示，Bing地圖的程式碼已經完成了90%的轉儲，Cortana和Bing的程式碼完成了45%。

Bing_STC-SV：專案包含矽谷辦公室各種Bing工程專案的原始碼

Bing_Test_Agile：使用敏捷模板的Bing的測試專案

Bing_UX： Bing。com前臺（SNR）和其他相關的使用者體驗程式碼庫

BingCubator ：BingCubator團隊

Bing-原始碼：用於儲存所有Bing原始碼的中心專案

Compliance_Engineering： WebXT合規工程團隊專案

Cortana： 所有與Cortana相關的程式碼和工作專案

奇怪的是，勒索團伙在截圖中留下了登入使用者的首字母「IS」。

這基本上就是直接為微軟指明瞭被攻擊的賬戶。

不知道是不是意識到了這一點，在釋出截圖後不久，Lapsus$就把帖子撤了下來。

取而代之的是一條資訊：「暫時刪除，以後再發。」

不過，首字母的暴露大機率也意味著Lapsus$不再有訪問儲存庫的許可權。

當然，也不排除Lapsus$只是在單方面嘲弄微軟。

眾所周知，Lapsus$對以前的受害者也是如此。

雖然微軟沒有證實他們的Azure DevOps賬戶是否被攻破，但在回覆媒體對此事採訪的電子郵件中稱，「我們瞭解到這些說法，並正在調查。」

不幸的是，Lapsus$有著「良好」的信用記錄，他們聲稱對其他公司的攻擊後來被證實是真的。不信可以問英偉達。

不過，安全公司Darktrace的全球威脅分析主管Toby Lewis則更為審慎：「除了內部開發人員儀表板的截圖之外，沒有任何進一步的證據。雖然Lapsus$曾成功地入侵過大型機構，但截圖為我們提供的資訊非常少。」

程式碼洩露，問題不大

雖然原始碼的洩露會讓軟體中的漏洞更容易被發現，但微軟此前曾表示，他們的威脅模型假定威脅者已經瞭解他們的軟體是如何工作的，無論是透過逆向工程解析還是以前的原始碼洩露，都不會造成風險的提升。

「在微軟，我們有開發內部原始碼的獨特方式，透過類似開源界的文化、和從開源界得來的最佳經驗，來開發微軟內部的原始碼。這意味著我們不依靠原始碼的保密性來保證產品的安全，我們的威脅模型假定攻擊者對原始碼有了解。」微軟在一篇關於SolarWinds攻擊者獲得其原始碼的博文中解釋道，「所以檢視原始碼並不與風險的提升掛鉤。」

不過，原始碼庫通常還包含訪問令牌、憑證、API金鑰，甚至是程式碼簽名證書。

當Lapsus$攻破英偉達併發布他們的資料時，它還包括程式碼簽名證書，其他威脅者很快就用它來簽署他們的惡意軟體。

而使用英偉達的程式碼簽署證書則會導致反病毒引擎信任可執行檔案，而不將其檢測為惡意軟體。

對此，微軟曾表示，他們有一項開發政策，禁止將API金鑰、憑證或訪問令牌等「秘密」納入原始碼庫中。

即使是這樣，也不意味著原始碼中沒有包括其他有價值的資料，比如私人加密金鑰或其他專有工具等。

目前還不知道這些庫中包含了什麼，但正如對以前的受害者所做的那樣，Lapsus$洩露被盜的資料只是時間問題。

透過釣魚與直接買密碼攻擊目標

與公眾之前瞭解的許多勒索集團不同，Lapsus$並沒有在受害者的裝置上部署勒索軟體。

相反，他們的目標是大公司的原始碼庫，竊取他們的專有資料，然後試圖以數百萬美元的價格將這些資料「賣」給受害公司。

據稱Lapsus$正在四處招攬大型科技企業的內線，讓這些內部員工透露敏感資訊。

3月10日在社交網站上寫道，「我們在以下公司招聘員工/內部人員！！！！」 ，該宣告隨後列出了它希望滲透的公司名單，其中包括蘋果、IBM 和微軟。

駭客組織在貼文中描述了要求叛變員工幫助訪問目標公司網路的特定方式：

「請注意：我們不是在直接索取資料，我們正在尋找內部員工來提供他們公司的內網VPN或CITRIX的外網介面，或一些AnyDesk的遠端登入許可權。」

據網路安全企業的推斷，該駭客團伙的攻擊方式除了這種直接購買登陸密碼與介面外，就是經典的釣魚攻擊、獲得目標網路的網路驗證。

老辦法一般是久經考驗的好辦法，這些方式能讓攻擊者在目標網路中潛伏數週而不被發覺。

Lapsus$在駭客團伙中的獨特之處，在於社交媒體建立形象併發聲。除了錢以外，該組織還想要名聲。

Lapsus$ 並不常對被攻破系統直接加密、進行勒索軟體攻擊，而是威脅要洩露它已經竊取的資訊，除非受害者乖乖給錢。

該組織要錢的方式與要求時常變幻，應該單純是為名利所驅動，沒有政治動機或國家級實體贊助者。

但就是這種貪得無厭死要錢的網路劫匪最不會銷聲匿跡，網路安全企業估計它們之後的攻擊會越發頻繁。

這個自稱只受金錢驅使的駭客組織，在成功攻擊了巨頭英偉達和三星之後，獲得了自信並擴大了野心。

16歲自閉症男孩帶隊的團伙？

Lapsus$在駭客界還算是一個「新人」。

2021年年底，Lapsus$的活動被首次曝光，其目標是巴西和葡萄牙的公司。

首先是巴西衛生部、葡萄牙媒體公司Impresa、南美電信公司Claro和Embratel，以及葡萄牙議會等等。

不過，據網友透露，Lapsus$的活動可能要追溯到2021年6月。

在地下論壇帖子中，一位使用者寫道：「針對遊戲巨頭EA的駭客攻擊，要歸功於Lapsus$，更多的內容會被洩露。」

之後，EA的遊戲FIFA 21原始碼被公開。

在2022年3月的育碧被黑事件中，Lapsus$也暗示自己是幕後的主使。

最近的網路地下世界爭鬥，更是為團伙成員的隱秘身份揭開了一角。

據稱，該組織的頭目是一名居住在英國的16歲自閉症少年男子。他在Dark web上的常用ID一般是SigmA、wh1te、Breachbase和Alexander Pavlov。

這是在ID為SigmA的使用者在購買doxbin後回售給原網站擁有者不果後被曝出的。在交涉失敗後，有人爆料SigmA就是Lapsus$的頭目，並稱其已被捕。

之後Lapsus$的社交網站頻道闢謠，稱SigmA沒有被捕，如此證實了SigmA/Alexander Pavlov的確是Lapsus$首腦的推測。

網路安全企業也發現，在SigmA擁有doxbin網站時，託管doxbin的子網與託管當時Lapsus$主網站的子網是同一個。

這可真是後生可畏、前途無亮啊……

參考資料：

https：//www。bleepingcomputer。com/news/security/microsoft-investigating-claims-of-hacked-source-code-repositories/

https：//www。vice。com/en/article/y3vk9x/microsoft-hacked-lapsus-extortion-investigating

https：//www。silentpush。com/blog/lapsus-group-an-emerging-dark-net-threat-actor