Leden van de hackersgroep LAPSUS$ hadden enige tijd beperkte toegang tot de account van een Microsoft-medewerker. Het Amerikaanse hard- en softwarebedrijf bevestigt in een blog dat ze het doelwit was van de hackersgroep. De schade bleef binnen de perken, omdat het techbedrijf de groep al langere tijd in de gaten hield.
Dat schrijft Microsoft in een blog.
Dit moet je weten over LAPSUS$
LAPSUS$, door Microsoft ook wel DEV-0537 genoemd, is een hackersgroep die vanuit Zuid-Amerika cyberaanvallen uitvoert. Het hackerscollectief richtte zich aanvankelijk op bedrijven en organisaties in het Verenigd Koninkrijk en Latijns-Amerika. Inmiddels heeft de groep zijn werkterrein verlegd: de afgelopen paar weken zijn verschillende overheidsinstanties, mediabedrijven, telecombedrijven en organisaties uit de detailhandel en zorgsector aangevallen door LAPSUS$.
Om een aanval uit te voeren, maakt LAPSUS$ geen gebruik van ransomware of andere malware. Met behulp van gecompromitteerde inloggegevens of sessietokens weet de groep zich toegang te verschaffen tot computersystemen, servers en andere toepassingen. De getroffen systemen werken meestal met een Virtual Private Network (VPN), Remote Desktop Protocol (RDP) of Virtual Desktop Infrastructure (VDI) van partijen als Citrix en Azure Active Directory. In enkele gevallen namen de daders het telefoonnummer van een medewerker over om zo tweefactorauthenticatie te omzeilen. Dit noemen we ook wel SIM Swapping.
LAPSUS$ maakt vele slachtoffers
NVIDIA is één van de recente slachtoffers van LAPSUS$. De aanvallers wisten de hand te leggen op personeelsgegevens en andere kritieke bedrijfsinformatie. Naar verluidt ging het om 1 TB aan data. Om te bewijzen dat ze bedrijfsgevoelige informatie in handen hadden, publiceerde de hackersgroep een aantal screenshots op een openbaar Telegramkanaal.
Een ander slachtoffer van LAPSUS$, is Samsung. De hackers wisten naar eigen zeggen algoritmen voor alle biometrische ontgrendelingsbewerkingen en de bootloader-broncode voor alle recente Samsung-apparaten te stelen. Verder claimen de daders de broncode voor de activeringsservers van Samsung en de technologie om Samsung-accounts te autoriseren en authentiseren te hebben gestolen. In totaal zou het om 190 GB aan data gaan. Het Zuid-Koreaanse technologiebedrijf heeft de aanval bevestigd en zegt dat er geen persoonlijke informatie van medewerkers of consumenten is buitgemaakt.
Tot slot zou Okta eerder deze week zijn gehackt door LAPSUS$. Het bedrijf maakt authenticatiesoftware dat door duizenden bedrijven wereldwijd wordt gebruikt, waaronder Apple en Amazon. Een hack zou dus grote gevolgen kunnen hebben. De hackersgroep plaatste maandagavond diverse afbeeldingen op Telegram om te bewijzen dat ze vertrouwelijke informatie in handen hebben. Cybersecurityexperts vermoeden dat de screenshots authentiek zijn. De plaatjes lijken te suggereren dat de hackers al in januari toegang hadden tot de digitale omgeving van Okta.
LAPSUS$ steelt (deel van) broncode van Microsoft-producten
Microsoft is het laatste slachtoffer van LAPSUS$. Via een blog laat het Amerikaanse hard- en softwarebedrijf weten dat de hackersgroep via een interne account toegang wisten te verschaffen tot het bedrijfsnetwerk. Microsoft zegt dat de schade beperkt is gebleven, omdat het bedrijf de hackers al enige tijd in de gaten houdt. Zodoende kon de Windows-maker op tijd ingrijpen en de gehackte account herstellen.
Bij de aanval zijn geen klantgegevens buitgemaakt. Microsoft erkent dat er delen van de broncode zijn ingezien. Dit leidt volgens het bedrijf niet tot een verhoogd risico voor klanten. LAPSUS$ claimde begin deze week dat het delen van de software van zoekmachine Bing heeft gestolen. Verder zegt de hackersgroep delen van de broncode van navigatieprogramma Bing Maps en spraakassistent Cortana hebben weten te verkrijgen. Microsoft kan deze beweringen van LAPSUS$ niet bevestigen.
Update: in een persverklaring geeft Okta toe dat ze is aangevallen door de hackers van LAPSUS$. Volgens de eerste bevindingen zijn er gegevens gestolen van ongeveer 2,5 procent van de ruim 15.000 klanten. Zij zijn inmiddels op de hoogte gebracht van het voorval. De dienstverlening is volledig operationeel en klanten hoeven geen actie te ondernemen, aldus David Bradbury, Chief Security Officer (CSO) bij Okta.
