O grupo Lapsus$ foi uma vez mais notícia esta semana depois de assumir o roubo e partilha de parte do código-fonte Bing Maps, Bing e da Cortana da Microsoft. O grupo já havia sido associado ao ataque feito em Portugal contra o grupo Impresa, mas as grandes tecnológicas parecem ser agora um alvo assumido.
Mas como é que o grupo consegue entrar nas empresas com um elevado grau de segurança sem serem detetados? Aparentemente a porta está dentro das empresas através de funcionários que partilham as suas credenciais de acesso em troca de dinheiro.
Depois da notícia do roubo de parte do código-fonte de serviços da Microsoft, a empresa veio afirmar que estaria já a investigar o caso internamente. Dessa investigação ficou-se a perceber um pouco como o grupo estará a atuar para entrar nestas grandes empresas.
O ataque à Microsoft
Segundo avança a Microsoft, o grupo recorre à chamada engenharia social para chegar aos funcionários da empresa ou a pessoas próximas. Chegando até eles, estão dispostos a pagar por credenciais que servem de porta de entrada às empresas.
Neste caso em concreto, mas também no ataque à Okta, o acesso às informações foi limitado, visto que só uma conta ficou comprometida.
Na Okta, por exemplo, descobriu-se que, em janeiro, um invasor obteve acesso ao computador de um engenheiro de suporte. Esses computadores têm acesso limitado, segundo afirma a empresa, embora a Lapsus$ tenha respondido, afirmando ter acesso a um portal de super utilizadores com capacidade de redefinição de senha e autenticação multifator (MFA) de cerca de 95% dos clientes da empresa.
A análise da Microsoft deixa claro que a empresa já tinha detetado o grupo hackers há muito tempo, sendo denominados de DEV-0537. Pode ler-se no relatório que:
Eles concentram os seus esforços de engenharia social na recolha de insights sobre as operações de negócios dos seus alvos. Essas informações incluem dados íntimos sobre funcionários, estruturas da equipa, help desks, fluxos de resposta a crises ou relacionamentos na cadeia de fornecimento.”
Como é que a Lapsus$ chega às empresas?
Este tipo de técnicas é usado “num modelo puro de extorsão e destruição sem que o ransomware seja instalado”, explica a Microsoft. É ainda indicado que o “DEV-0537 também é conhecido por obter acesso a contas pessoais de troca de criptomoedas para esgotar os seus recursos de criptomoeda”.
Métodos como telefonemas para tentar enganar os funcionários são também utilizados pelo grupo, bem como técnicas de troca de SIM.
A imagem anterior mostra uma mensagem deixada pelo grupo onde é evidente que está à procura de funcionários de empresas como a Microsoft, Apple, EA, IBM e similares, para ter acesso às suas credenciais em troca de dinheiro, de forma a conseguirem penetrar a empresa.
Além disso, não parecem estar interessados em manter-se escondidos, uma vez que revelam os ataques elaborados e, nalguns casos, a porta de acesso.