LAPSUS$ : 2 nouvelles victimes confirmées et une analyse par Microsoft |
————— 24 Mars 2022 à 10h10 —— 16995 vues
Microsoft a finalement confirmé avant-hier que LAPSUS$ a bel et bien pu obtenir un « accès limité » à ses systèmes en exploitant un compte compromis, depuis déjà resécurisé par son service de sécurité afin d'éviter toute nouvelle tentative. Microsoft rassure et précise qu'aucun code ni de données de sa clientèle n'ont été touchés dans l'infiltration de LAPSUS$ et qu'il n'y a donc aucune élévation du risque habituel. À en croire Microsoft, ses équipes ont pu intervenir et interrompre l'opération du groupe, limitant ainsi son impact. On apprend aussi que l'entreprise surveille le groupe depuis un moment, suivi sous l'identifiant DEV-0537. C'est le Microsoft Threat Intelligence Center qui est sur le coup, avec la Detection and Response Team et la Microsoft 365 Defender Threat Intelligence Team.
Dans cette publication très complète et intéressante disponible ici (~11 minutes de lecture), l'entreprise partage son observation et son analyse du groupe LAPSUS$, examinant son historique, ses « stratégies » et son « mode opératoire ». Microsoft a constaté, entre autres, que LAPSUS$ ne se comporte pas vraiment comme les autres, le groupe semble notamment ne faire aucun effort pour couvrir ses traces et fait bon usage des réseaux sociaux pour vanter ses attaques ou mettre en avant ses demandes. DEV-0537 utilise également selon Microsoft des tactiques moins communes, faisant l'impasse notamment sur l'usage de logiciels malveillants, comme les ransomwares. Au contraire, le groupe de pirates s'appuierait simplement sur un modèle d'extorsion et de destruction pure.
![lapsus$ recrute ! [cliquer pour agrandir]](/images/stories/_business/lapsus-pirate-recrutement-telegram_t.png "Enlarge your pe...icture")
Ainsi, LAPSUS$ aurait une préférence pour : l'ingénierie sociale basée sur le mobile (échange de SIM, par exemple) ; faire chanter l'entreprise victime pour une rançon ; soudoyer/recruter des employés, des partenaires ou des fournisseurs de la cible pour obtenir des informations d'identifications et authentification multifacteur (MFA) ; accéder aux comptes personnels des employés de la cible ; s'immiscer dans les communications de crise des organisations visées ; mettre en vente son butin. Pour terminer, Microsoft partage aussi ses recommandations à destination des entreprises avant tout pour les prémunir contre une intrusion, détaillant les choses à faire (renforcer les mots de passe et l'implémentation MFA basée sur des alternatives modernes) et celles à éviter (le MFA via SMS, par exemple).
Based on observed activity, this group understands the interconnected nature of identities and trust relationships in modern technology ecosystems and targets telecommunications, technology, IT services and support companies – to leverage their access from one organization to access the partner or supplier organizations." - Microsoft.
Outre Microsoft, il a été confirmé que le fournisseur de services Cloud Okta également a été victime d'une intrusion par LAPSUS$, qui aurait potentiellement impacté environ 2,5 % des ses clients. L'entreprise a reconnu la chose et affirme avoir identifié toutes les victimes et de les avoir contactés directement. Cependant, Okta insiste que ses services n'ont pas été compromis et sont pleinement opérationnels, et qu'aucune action corrective n'est requise par sa clientèle... Selon l'entreprise, LAPSUS$ a pu exploiter le compte d'un ingénieur du service clientèle après avoir eu accès à la machine portable de l'employé pendant 5 jours, entre les 16 et 21 janvier ! Oui, janvier, ça fait un bail. Autrement dit, Okta aura attendu 2 mois avant de communiquer à propos de l'intrusion et d'en informer ses clients... Voilà qui n'est pas très flatteur. D'ailleurs, LAPSUS$ s'est fait un malin plaisir à démonter un à un les soi-disant « mensonge » relevés par le groupe dans le communiqué d'Okta :
![lapsus$ vs okta [cliquer pour agrandir]](/images/stories/_business/lapsus-demonte-communique-okta_t.jpg "Même pas cap' de cliquer")
The screenshots are very worrisome. In the pictures below, LAPSUS$ appears to have gotten access to the @Cloudflare tenant with the ability to reset employee passwords: pic.twitter.com/OZBMenuwgJ
— Bill Demirkapi @ ShmooCon (@BillDemirkapi) March 22, 2022
Bon, grâce au travail de Microsoft, l'industrie en sait désormais tout de même bien plus à propos de ce groupe relativement nouveau, mais qui semble être bien parti pour rejoindre le panthéon des célèbres associations de pirates. En tout cas, il a sa page Wikipédia (assez sommaire, certes) depuis le 14 mars. Jusqu'où ce groupe présumé basé au Brésil pourra-t-il aller et pendant combien de temps encore ? Allez savoir, mais ce n'est probablement pas terminé. Les spécialistes en cybersécurité vont toutefois avoir un peu de temps pour se préparer avant la prochaine attaque, puisqu'il s'avère que LAPSUS$ a décidé de prendre un peu de repos après tous ses exploits et plusieurs de ses membres auraient pris quelques vacances jusqu'au 30/03/2022, à en croire une publication via le Telegram du groupe. (Source)
Je les aurais davantage vu au Mexique avec un gouvernement réellement corrompu et aux ordres des gangs mieux armés que l'armée.
Même pas besoin d'une unité spéciale et de les amener aux Etats-Unis. Les Brésil est armé juridiquement contre ces gens là. C'est un pays qui préfère la sécurité informatique pour la bonne raison qu'ils ont une implantation locale et un nid d'entreprises conséquente.