Mardi, après enquête, Microsoft a confirmé que l'un des comptes de ses employés avait été compromis par Lapsus$, offrant un accès limité aux référentiels de code source ; c'est donc par ce biais que les hackers ont volé des parties du code source de certains de ses produits. Un billet de blog sur son site de sécurité indique que les enquêteurs de Microsoft suivent le groupe Lapsus$ depuis des semaines et détaillent certaines des méthodes qu'ils ont utilisées pour compromettre les systèmes des victimes. Selon le Microsoft Threat Intelligence Center (MSTIC), « l'objectif des acteurs DEV-0537 est d'obtenir un accès élevé grâce à des informations d'identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée, entraînant souvent de l'extorsion. Les tactiques et les objectifs indiquent qu'il s'agit d'un acteur cybercriminel motivé par le vol et la destruction. »
Microsoft a confirmé des informations selon lesquelles il a été piraté par le groupe d'extorsion Lapsus$, également connu sous le nom de DEV-0537. Tout en admettant que les pirates ont réussi à voler le code source, la société tente simultanément de minimiser l'incident. Microsoft soutient que le code divulgué n'est pas suffisamment grave pour entraîner une élévation du risque et que ses équipes d'intervention ont arrêté les pirates en cours d'opération.
Lapsus$ a partagé en ligne une archive de 37 Go contenant du code source partiel pour Cortana et Bing, mais Microsoft insiste sur le fait qu'aucune donnée client n'a été compromise. La société affirme que « notre enquête a révélé qu'un seul compte avait été compromis, accordant un accès limité » :
« Au cours des dernières semaines, les équipes de Microsoft Security ont activement suivi une campagne d'ingénierie sociale et d'extorsion à grande échelle contre plusieurs organisations, certaines ayant vu des preuves d'éléments destructeurs. Au fur et à mesure que cette campagne s'est accélérée, nos équipes se sont concentrées sur la détection, les notifications aux clients, les briefings sur les renseignements sur les menaces et le partage avec nos partenaires de collaboration de l'industrie pour comprendre les tactiques et les cibles de l'acteur. Au fil du temps, nous avons amélioré notre capacité à suivre cet acteur et aidé les clients à minimiser l'impact des intrusions actives et, dans certains cas, travaillé avec les organisations concernées pour arrêter les attaques avant le vol de données ou les actions destructrices. Microsoft s'engage à fournir une visibilité sur les activités malveillantes que nous avons observées et à partager des informations et des connaissances sur les tactiques des acteurs qui pourraient être utiles à d'autres organisations pour se protéger. Bien que notre enquête sur les attaques les plus récentes soit toujours en cours, nous continuerons à mettre à jour ce blog lorsque nous aurons plus à partager.
« L'activité que nous avons observée a été attribuée à un groupe de menaces que Microsoft suit sous le nom de DEV-0537, également connu sous le nom de LAPSUS$. DEV-0537 est connu pour utiliser un modèle d'extorsion et de destruction pure sans déployer de charges utiles de ransomware. DEV-0537 a commencé à cibler des organisations au Royaume-Uni et en Amérique du Sud, mais s'est étendu à des cibles mondiales, y compris des organisations dans les secteurs du gouvernement, de la technologie, des télécommunications, des médias, de la vente au détail et de la santé. DEV-0537 est également connu pour prendre en charge les comptes d'utilisateurs individuels sur les échanges de cryptomonnaie pour drainer les avoirs en cryptomonnaie.
« Contrairement à la plupart des groupes d'activités qui restent sous le radar, DEV-0537 ne semble pas couvrir ses traces. Ils vont jusqu'à annoncer leurs attaques sur les réseaux sociaux ou à annoncer leur intention d'acheter des identifiants à des employés d'organisations cibles. DEV-0537 utilise également plusieurs tactiques qui sont moins fréquemment utilisées par d'autres acteurs malveillants suivis par Microsoft. Leurs tactiques incluent l'ingénierie sociale par téléphone ; les échange de carte SIM pour faciliter la prise de contrôle de compte ; l'accès aux comptes de messagerie personnels des employés des organisations cibles ; le paiement des employés, des fournisseurs ou des partenaires commerciaux des organisations cibles pour acceder aux informations d'identification et d'approbation de l'authentification multifacteur (MFA) et s'immiscer dans les appels de communication de crise en cours de leurs cibles.
« L'ingénierie sociale et les tactiques centrées sur l'identité exploitées par DEV-0537 nécessitent des processus de détection et de réponse similaires aux programmes de risques internes, mais impliquent également des délais de réponse courts nécessaires pour faire face aux menaces externes malveillantes. Dans ce blog, nous compilons les tactiques, techniques et procédures (TTP) que nous avons observées à travers plusieurs attaques et compromissions. Nous fournissons également des stratégies et des recommandations d'atténuation des risques de base pour aider les organisations à renforcer la sécurité de leur organisation contre ce mélange unique d'artisanat ».
Analyse
Microsoft a expliqué que les acteurs derrière DEV-0537 ont concentré leurs efforts d'ingénierie sociale pour recueillir des connaissances sur les opérations commerciales de leur cible. Ces informations comprennent des connaissances intimes sur les employés, les structures d'équipe, les services d'assistance, les flux de travail de réponse aux crises et les relations de la chaîne d'approvisionnement. Des exemples de ces tactiques d'ingénierie sociale incluent le spam d'un utilisateur cible avec des invites d'authentification multifacteur (MFA) et l'appel du service d'assistance de l'organisation pour réinitialiser les informations d'identification d'une cible.
Microsoft Threat Intelligence Center (MSTIC) évalue que l'objectif de DEV-0537 est d'obtenir un accès élevé grâce à des informations d'identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée, entraînant souvent une extorsion. Les tactiques et les objectifs indiquent qu'il s'agit d'un acteur cybercriminel motivé par le vol et la destruction.
Accès initial
DEV-0537 utilise une variété de méthodes qui visent généralement à compromettre les identités des utilisateurs pour obtenir un accès initial à une organisation, notamment :
- déploiement du voleur de mots de passe malveillant Redline pour obtenir des mots de passe et des jetons de session ;
- achat d'identifiants et de jetons de session auprès de forums criminels clandestins ;
- paiement des employés d'organisations ciblées (ou de fournisseurs/partenaires commerciaux) pour l'accès aux informations d'identification et à l'approbation du MFA ;
- recherche dans les référentiels de code public des informations d'identification exposées.
À l'aide des informations d'identification ou des jetons de session compromis, DEV-0537 accède aux systèmes et applications accessibles sur Internet. Ces systèmes incluent le plus souvent un réseau privé virtuel (VPN), un protocole de bureau à distance (RDP), une infrastructure de bureau virtuel (VDI), y compris Citrix, ou des fournisseurs d'identité (y compris Azure Active Directory, Okta). Pour les organisations utilisant la sécurité MFA, DEV-0537 a utilisé deux techniques principales pour satisfaire aux exigences MFA : la relecture des jetons de session et l'utilisation de mots de passe volés pour déclencher des invites MFA d'approbation simple en espérant que l'utilisateur légitime du compte compromis finira par accepter les invites et accordera le nécessaire.
Dans certains cas, DEV-0537 a d'abord ciblé et compromis les comptes personnels ou privés (non liés au travail) d'un individu, ce qui lui a donné accès à des informations d'identification supplémentaires qui pourraient être utilisées pour accéder aux systèmes de l'entreprise. Étant donné que les employés utilisent généralement ces comptes personnels ou numéros de téléphone mobile comme authentification à deux facteurs ou récupération de mot de passe, le groupe utilise souvent cet accès pour réinitialiser les mots de passe et effectuer des actions de récupération de compte.
Microsoft a également trouvé des cas où le groupe a réussi à accéder à des organisations cibles par le biais d'employés recrutés (ou d'employés de leurs fournisseurs ou partenaires commerciaux). DEV-0537 a annoncé qu'il souhaitait acheter des informations d'identification pour ses cibles afin d'inciter les employés ou les sous-traitants à participer à son fonctionnement. Moyennant des frais, le complice volontaire doit fournir ses informations d'identification et approuver l'invite MFA ou demander à l'utilisateur d'installer AnyDesk ou un autre logiciel de gestion à distance sur un poste de travail d'entreprise permettant à l'acteur malveillant de prendre le contrôle d'un système authentifié. Une telle tactique n'était que l'une des façons dont DEV-0537 a tiré parti de l'accès sécurisé et des relations commerciales que leurs organisations cibles entretiennent avec leurs fournisseurs de services et leurs chaînes d'approvisionnement.
Dans une autre activité observée, les acteurs du DEV-0537 ont effectué une attaque par échange de carte SIM pour accéder au numéro de téléphone d'un utilisateur avant de se connecter au réseau de l'entreprise. Cette méthode permet aux acteurs de gérer les invites d'authentification par téléphone dont ils ont besoin pour accéder à une cible.
Une fois les informations d'identification ou l'accès utilisateur standard obtenus, DEV-0537 connectait généralement un système au VPN d'une organisation. Dans certains cas, pour répondre aux exigences d'accès conditionnel, DEV-0537 s'est enregistré ou a joint le système à Azure Active Directory (Azure AD) de l'organisation.
Reconnaissance et élévation de privilèges
Une fois que DEV-0537 a obtenu l'accès au réseau cible à l'aide du compte compromis, il a utilisé plusieurs tactiques pour découvrir des informations d'identification ou des points d'intrusion supplémentaires afin d'étendre son accès, notamment :
- exploitation des vulnérabilités non corrigées sur des serveurs accessibles en interne, notamment JIRA, Gitlab et Confluence ;
- recherche dans les référentiels de code et les plateformes de collaboration des informations d'identification et des secrets exposés.
Il a été constamment observé qu'ils utilisent AD Explorer, un outil accessible au public, pour énumérer tous les utilisateurs et groupes dudit réseau. Cela leur permet de comprendre quels comptes pourraient avoir des privilèges plus élevés. Ils ont ensuite recherché des plateformes de collaboration comme SharePoint ou Confluence, des solutions de suivi des problèmes comme JIRA, des référentiels de code comme GitLab et GitHub et des canaux de collaboration d'organisation comme Teams ou Slack pour découvrir d'autres informations d'identification de compte à privilèges élevés pour accéder à d'autres informations sensibles.
DEV-0537 est également connu pour exploiter les vulnérabilités de Confluence, JIRA et GitLab pour l'élévation des privilèges. Le groupe a compromis les serveurs exécutant ces applications pour obtenir les informations d'identification d'un compte privilégié ou s'exécuter dans le contexte dudit compte et vider les informations d'identification à partir de là. Le groupe a utilisé des attaques DCSync et Mimikatz pour effectuer des routines d'escalade de privilèges. Une fois l'accès administrateur de domaine ou son équivalent obtenu, le groupe a utilisé l'utilitaire intégré ntdsutil pour extraire la base de données AD.
Dans certains cas, DEV-0537 a même appelé le service d'assistance de l'organisation et a tenté de convaincre le personnel d'assistance de réinitialiser les informations d'identification d'un compte privilégié. Le groupe a utilisé les informations précédemment recueillies (par exemple, les photos de profil) et a demandé à un appelant de langue maternelle anglaise de parler avec le personnel du service d'assistance pour renforcer son attrait d'ingénierie sociale. Les actions observées ont inclus DEV-0537 répondant aux invites de récupération courantes telles que « la première rue dans laquelle vous avez vécu » ou « le nom de jeune fille de la mère » pour convaincre le personnel du service d'assistance de l'authenticité. Étant donné que de nombreuses organisations externalisent leur support technique, cette tactique tente d'exploiter ces relations de chaîne d'approvisionnement, en particulier lorsque les organisations donnent à leur personnel de support technique la possibilité d'élever les privilèges.
Exfiltration, destruction et extorsion
D'après les observations de Microsoft, DEV-0537 dispose d'une infrastructure dédiée qu'il exploite chez des fournisseurs de serveurs privés virtuels (VPS) connus et exploite NordVPN pour ses points de sortie. DEV-0537 est conscient des détections telles que les déplacements impossibles et a donc choisi des points de sortie VPN qui ressemblaient géographiquement à leurs cibles. DEV-0537 a ensuite téléchargé les données sensibles de l'organisation ciblée pour une extorsion future ou une diffusion publique sur le système joint au VPN de l'organisation et/ou au système joint à Azure AD.
Il a été observé que le DEV-0537 utilisait l'accès aux actifs cloud pour créer de nouvelles machines virtuelles dans l'environnement cloud de la cible, qu'ils utilisent comme infrastructure contrôlée par les acteurs pour effectuer d'autres attaques dans l'organisation cible.
S'ils réussissent à obtenir un accès privilégié au locataire cloud d'une organisation (AWS ou Azure), DEV-0537 crée des comptes d'administrateur globaux dans les instances cloud de l'organisation, définit une règle de transport de messagerie au niveau du locataire Office 365 pour envoyer tous les messages entrants et sortants de l'organisation au compte nouvellement créé, puis supprime tous les autres comptes d'administrateurs globaux, de sorte que seul l'acteur ait le contrôle exclusif des ressources cloud, bloquant ainsi l'organisation de tout accès. Après exfiltration, DEV-0537 supprime souvent les systèmes et ressources de la cible. Microsoft a observé la suppression de ressources à la fois sur site (par exemple, VMWare vSphere/ESX) et dans le cloud pour déclencher le processus de réponse aux incidents et aux crises de l'organisation.
L'acteur malveillant a été observé alors rejoignant les appels de communication de crise de l'organisation et les forums de discussion internes (Slack, Teams, conférences téléphoniques et autres) pour comprendre le flux de travail de réponse aux incidents et leur réponse correspondante. Microsoft pense que cela fournit à DEV-0537 un aperçu de l'état d'esprit de la victime, sa connaissance de l'intrusion et un lieu pour lancer des demandes d'extorsion. Notamment, DEV-0537 a été observé en train de rejoindre des ponts de réponse aux incidents au sein d'organisations ciblées répondant à des actions destructrices. Dans certains cas, DEV-0537 a rançonné des victimes pour empêcher la divulgation de données volées, et dans d'autres, aucune tentative d'extorsion n'a été faite et DEV-0537 a divulgué publiquement les données volées.
Source : Microsoft
Voir aussi :
Près de 200 Go de code source de Samsung et le code source de la dernière technologie DLSS de NVIDIA ont été publiés en ligne par les pirates Lapsus$. GitGuardian a découvert 6 695 clefs de Samsung
NVIDIA aurait attaqué au ransomware des hackers qui ont pénétré ses systèmes et auraient volé 1 To de données, mais les hackers ont affirmé qu'ils disposaient d'une sauvegarde de ces données