Lapsus$ est un nom qui a gagné en visibilité du fait de ses cibles de haute valeur : parmi les noms les plus significatifs figurent Samsung, NVIDIA, Ubisoft, LG Electronics (deux fois) et Vodafone ; il s'agit donc principalement des entreprises évoluant dans le secteur de la tech, au sens large. Et dernièrement, Lapsus$ a attaqué Microsoft, en lui dérobant des portions de code source.
Microsoft a expliqué que le groupe de cybercriminels a concentré ses efforts d'ingénierie sociale pour recueillir des connaissances sur les opérations commerciales de leur cible. Ces informations comprennent des connaissances intimes sur les employés, les structures d'équipe, les services d'assistance, les flux de travail de réponse aux crises et les relations de la chaîne d'approvisionnement. Des exemples de ces tactiques d'ingénierie sociale incluent le spam d'un utilisateur cible avec des invites d'authentification multifacteur (MFA) et l'appel du service d'assistance de l'organisation pour réinitialiser les informations d'identification d'une cible.
Microsoft Threat Intelligence Center (MSTIC) évalue que l'objectif de Lapsus$ est d'obtenir un accès élevé grâce à des informations d'identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée, entraînant souvent une extorsion. Les tactiques et les objectifs indiquent qu'il s'agit d'un acteur cybercriminel motivé par le vol et la destruction.
Les actions de Lapsus$ n’ont pas été anodines pour les entreprises touchées. Le code source de plusieurs applications clés de Microsoft (son moteur de recherche Bing, son assistant virtuel Cortana, son outil cartographique Bing Maps) a été diffusé. Pour NVIDIA, ce sont des informations sur ses cartes graphiques actuelles et futures et certaines technologies qui ont été exposées.
Sans doute pour empêcher les hackers de les faire chanter en s'appuyant sur ces données, NVIDIA aurait riposté en se faufilant dans le système du pirate et en chiffrant les données volées. C'est ce qu'affirme une publication sur le compte twitter de Vx-underground (qui évolue dans la Threat Intelligence - une discipline basée sur des techniques du renseignement, qui a pour but la collecte et l'organisation de toutes les informations liées aux menaces du cyberespace, afin de dresser un portrait des attaquants ou de mettre en exergue des tendances), captures d'écran à l'appui :
« Le groupe d'extorsion LAPSU$, un groupe opérant en Amérique du Sud, affirme avoir pénétré par effraction les systèmes de NVIDIA et exfiltré plus de 1 To de données propriétaires. LAPSU$ affirme que NVIDIA a effectué un piratage et déclare que NVIDIA a réussi à attaquer ses machines à l'aide d'un ransomware ».
Mais les hackers ont déclaré disposer d'une sauvegarde des données, rendant ainsi vains les efforts de NVIDIA : « Heureusement, nous disposions d'une sauvegarde. Mais pourquoi pensaient-ils qu'ils pouvaient se connecter à notre machine privée et installer un ransomware ? »
L'un des cerveaux de l'affaire pourrait avoir 16 ans
La police de la ville de Londres a arrêté sept adolescents en raison de leurs liens présumés avec un groupe de piratage qui serait le groupe récemment prolifique Lapsus$ : « La police de la ville de Londres a mené une enquête avec ses partenaires sur les membres d'un groupe de piratage. Sept personnes âgées de 16 à 21 ans ont été arrêtées dans le cadre de cette enquête et ont toutes été libérées sous enquête. Nos enquêtes restent en cours », a déclaré l'inspecteur-détective Michael O'Sullivan de la police de la ville de Londres dans un communiqué.
Un jeune de 16 ans d'Oxford est soupçonné d'être l'un des chefs du gang de cybercriminalité Lapsus$. Avec son surnom en ligne, "Breachbase" ou "White", l'adolescent a gagné l'équivalent de 14 millions de dollars en Bitcoin à ce jour. Il n’a pas été précisé si celui qui est décrit comme la tête pensante du groupe figure parmi les sept interpellés.
"Breachbase" ou "White" a été victime de doxxing* sur un site Web pirate par son partenaire commercial après un différend entre eux. Les pirates ont révélé son nom, son adresse, des photos sur les réseaux sociaux et ont également publié une biographie de sa carrière de pirate.
(* le doxxing est une pratique consistant à rechercher les informations sensibles de quelqu’un pour les publier sur Internet. Les pirates y ont recours pour se venger d’internautes, les harceler ou les faire chanter)
L'administrateur de Lapsus$, "Breachbase" ou "White", était supposé verser à l'administrateur de Doxbin "KT" plus de 25 000 $ pour retirer son dox de son site et diffuser de la désinformation sur sa véritable identité. Voici la conversation et le motif de la publication.
Les chercheurs soupçonnent l'adolescent d'être à l'origine de certains des principaux piratages effectués par Lapsus$, mais ils n'ont pas été en mesure de le lier de manière concluante à tous les piratages revendiqués par Lapsus$. Les cyberchercheurs ont utilisé des preuves médico-légales provenant des hacks ainsi que des informations accessibles au public pour lier l'adolescent au groupe de piratage.
Les chercheurs en cybersécurité suivent "White" depuis près d'un an et l'ont lié à Lapsus$ et à d'autres incidents de piratage. L'adolescent a commis de multiples erreurs qui ont aidé les chercheurs à suivre son activité sur les comptes en ligne.
Allison Nixon, responsable de la recherche à la société d'enquête sur la cybersécurité Unit 221B, a déclaré : « Nous avons son nom depuis le milieu de l'année dernière et nous l'avons identifié avant le doxxing ». Et d'ajouter : « Nous l'avons observé sur ses exploits tout au long de 2021 ».
BBC News indique avoir parlé au père de l'adolescent, qui n'était apparemment pas au courant de son implication dans le groupe : « Je n'avais jamais entendu parler de tout cela jusqu'à récemment. Il n'a jamais parlé de piratage, mais il est très doué en informatique et passe beaucoup de temps sur l'ordinateur », a déclaré le père, selon les informations de la BBC. « J'ai toujours pensé qu'il jouait. Nous essaierons de l'empêcher d'utiliser des ordinateurs ».
Le récit livré par le média anglophone surprend du fait de l’âge de celui que l’on présente comme la tête pensante de l’un des groupes les plus médiatisés ces dernières semaines. Mais cette particularité n’est pas forcément rare : au sein du collectif LulzSec, qui s’était fait connaître en 2011 avec diverses intrusions informatiques, certains membres n’avaient pas 20 ans.
Un autre membre de Lapsus$ est soupçonné d'être un adolescent résidant au Brésil, selon les enquêteurs. Une personne enquêtant sur le groupe a déclaré que les chercheurs en sécurité avaient identifié sept comptes uniques associés au groupe de piratage, ce qui indique qu'il y a probablement d'autres personnes impliquées dans les opérations du groupe.
L'adolescent est si doué pour le piratage (et si rapide) que les chercheurs ont d'abord pensé que l'activité qu'ils observaient était automatisée, a déclaré une autre personne impliquée dans la recherche.
Lapsus$ a publiquement nargué ses victimes, en divulguant son code source et ses documents internes. Lorsque Lapsus$ a révélé qu'il avait réussi à entrer par effraction dans Okta Inc., il a plongé l'entreprise dans une crise de relations publiques.
Pour mémoire, Okta est une entreprise américaine propose des solutions de gestion d'accès sécurisé (authentification) à des serveurs en ligne à ses clients. Son activité relève donc de la cybersécurité et de la protection. Parmi ses clients, on retrouve les français Engie, Foncia, ou encore La Croix-Rouge française. Un piratage de ses systèmes, qui sont eux-mêmes chargés d'en sécuriser des centaines d'autres, pourrait donc avoir des répercutions majeures.
Okta a échangé avec Lapsus$ par communiqués de presse interposés, entre le 20 et le 22 mars. Tentant dans un premier temps d'éteindre l'incendie, l'entreprise a reconnu, dans son plus récent communiqué, qu'une partie de ses clients avait bien été affectée.
« Après une enquête approfondie, nous en avons conclu qu'un petit pourcentage de clients, approximativement 2,5 %, ont potentiellement été affectés, et dont les données ont été vues ou manipulées. Nous avons identifié ces clients et les avons contactés », a déclaré David Bradbury, directeur des ventes d'Okta, dans un communiqué publié le 22 mars. Cela représente, sur les 15 000 clients revendiqués par l'entreprise, au moins 375 d'entre eux.
Lapsus$ est même allé jusqu'à rejoindre les appels Zoom des entreprises dont ils ont forcé l'accès, où ils ont provoqué des employés et des consultants qui ont tenté de colmater les brèches de leur piratage.
Quoi qu'il en soit, sur sa page Telegram, Lapsus$ a déclaré le 23 mars : « Certains de nos membres ont des vacances jusqu'au 30/3/2022. Nous pourrions être silencieux pendant quelque temps. Merci pour votre compréhension - nous essaierons de divulguer des trucs dès que possible ». Le 25 mars, Lapsus$ a annoncé l'arrivée d'un nouveau modérateur de chat.
Sources : page Telegram de Lapsus$, Okta, BBC
Voir aussi :
Quelle lecture en faites-vous ?
Que pensez-vous du piratage d'Okta, l'entreprise américaine proposant des solutions de gestion d'accès sécurisé (authentification) à des serveurs en ligne à ses clients ?
Que pensez-vous du fait que l'entreprise ait tenté de minimiser la portée du piratage puis a été obligé d'avouer après des échanges par communiqués interposés avec les cybercriminels que 2,5 % de son portefeuille clients (soit au moins 375 entreprises) étaient affectés ?