|
查看: 444|回复: 2
|
老黄被黑,微软中招,黑客团伙竟是16岁英国自闭症男孩带队
[复制链接]
|
|
|
本帖最后由 daisiesdontdoit 于 23-3-2022 10:44 AM 编辑
在不到半年里,黑客组织Lapsus$四处搞事,从巴西政府黑到英伟达,现在又黑了微软。
最近,那个勒索 英伟达的Lapsus$,又把 微软给黑了! 在过去几个月里,Lapsus$可谓是声名鹊起。英伟达、三星、沃达丰、育碧等等都惨遭毒手。
而这里面最惨的,就属英伟达了。毕竟被放出源代码,而且文件大小还高达75GB的,也仅此一家。不过,距离「最后通牒」也已经过了小半个月,却不见Lapsus$有进一步的动作。
对于微软这家商业软件巨头来说,目前Lapsus$还尚未向提出任何要求。
微软也难逃厄运
周日清晨,Lapsus$在Telegram上发布了一张内部源代码库的截图,内容似乎是从微软云计算部门Azure的内部开发人员帐户中黑进去得到的信息。图中的Azure DevOps资源库包含了Cortana和各种Bing项目的源代码。
Lapsus$表示,Bing地图的代码已经完成了90%的转储,Cortana和Bing的代码完成了45% 奇怪的是,勒索团伙在截图中留下了登录用户的首字母「IS」。这基本上就是直接为微软指明了被攻击的账户。不知道是不是意识到了这一点,在发布截图后不久,Lapsus$就把帖子撤了下来。取而代之的是一条信息:「暂时删除,以后再发。」不过,首字母的暴露大概率也意味着Lapsus$不再有访问存储库的权限。当然,也不排除Lapsus$只是在单方面嘲弄微软。
众所周知,Lapsus$对以前的受害者也是如此。
虽然微软没有证实他们的Azure DevOps账户是否被攻破,但在回复媒体对此事采访的电子邮件中称,「我们了解到这些说法,并正在调查。」不幸的是,Lapsus$有着「良好」的信用记录,他们声称对其他公司的攻击后来被证实是真的。不信可以问英伟达。不过,安全公司Darktrace的全球威胁分析主管Toby Lewis则更为审慎:「除了内部开发人员仪表板的截图之外,没有任何进一步的证据。虽然Lapsus$曾成功地入侵过大型机构,但截图为我们提供的信息非常少。」
代码泄露,问题不大
虽然源代码的泄露会让软件中的漏洞更容易被发现,但微软此前曾表示,他们的威胁模型假定威胁者已经了解他们的软件是如何工作的,无论是通过逆向工程解析还是以前的源代码泄露,都不会造成风险的提升。
「在微软,我们有开发内部源码的独特方式,通过类似开源界的文化、和从开源界得来的最佳经验,来开发微软内部的源码。这意味着我们不依靠源代码的保密性来保证产品的安全,我们的威胁模型假定攻击者对源代码有了解。」微软在一篇关于SolarWinds攻击者获得其源代码的博文中解释道,「所以查看源代码并不与风险的提升挂钩。」
不过,源代码库通常还包含访问令牌、凭证、API密钥,甚至是代码签名证书。当Lapsus$攻破英伟达并发布他们的数据时,它还包括代码签名证书,其他威胁者很快就用它来签署他们的恶意软件。而使用英伟达的代码签署证书则会导致反病毒引擎信任可执行文件,而不将其检测为恶意软件。对此,微软曾表示,他们有一项开发政策,禁止将API密钥、凭证或访问令牌等「秘密」纳入源代码库中。
即使是这样,也不意味着源代码中没有包括其他有价值的数据,比如私人加密密钥或其他专有工具等。目前还不知道这些库中包含了什么,但正如对以前的受害者所做的那样,Lapsus$泄露被盗的数据只是时间问题。
16岁自闭症男孩带队的团伙?
Lapsus$在黑客界还算是一个「新人」。2021年年底,Lapsus$的活动被首次曝光,其目标是巴西和葡萄牙的公司。首先是巴西卫生部、葡萄牙媒体公司Impresa、南美电信公司Claro和Embratel,以及葡萄牙议会等等。不过,据网友透露,Lapsus$的活动可能要追溯到2021年6月。在地下论坛帖子中,一位用户写道:「针对游戏巨头EA的黑客攻击,要归功于Lapsus$,更多的内容会被泄露。」之后,EA的游戏FIFA 21源代码被公开。
最近的网络地下世界争斗,更是为团伙成员的隐秘身份揭开了一角。据称,该组织的头目是一名居住在英国的16岁自闭症少年男子。他在Dark web上的常用ID一般是SigmA、wh1te、Breachbase和Alexander Pavlov。这是在ID为SigmA的用户在购买doxbin后回售给原网站拥有者不果后被曝出的。在交涉失败后,有人爆料SigmA就是Lapsus$的头目,并称其已被捕。之后Lapsus$的社交网站频道辟谣,称SigmA没有被捕,如此证实了SigmA/Alexander Pavlov的确是Lapsus$首脑的推测。网络安全企业也发现,在SigmA拥有doxbin网站时,托管doxbin的子网与托管当时Lapsus$主网站的子网是同一个。
这可真是后生可畏、前途无亮啊……
https://www.36kr.com/p/1665490855122948
|
|
|
|
|
|
|
|
|
|
|
|
楼主 |
发表于 23-3-2022 10:44 AM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
发表于 23-3-2022 11:38 AM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
| |
 本周最热论坛帖子
|
变色卡
千斤顶
1689 
72
