Le groupe de hackers Lapsus$ commence à être un énorme problème pour les organisations du monde entier. Le groupe de pirates, qui a une forte présence sur les réseaux sociaux sur Telegram, se concentre exclusivement sur le vol de données et l’extorsion.
groupe de hackers déclare avoir infiltré plusieurs grandes entreprises. Parmi les entreprises impactées ces derniers mois figurent Samsung, NVIDIA ou encore Verizon. Le groupe publie souvent des captures d’écran de leurs activités sur leur groupe Telegram et demande même aux fans de voter sur les données qu’ils doivent exposer.
Dans son hack le plus récent, Lapsus$ déclare avoir effectivement pénétré 2 grandes entreprises, Microsoft et Okta. Lapsus$ a publié des captures d’écran des détails internes d’Okta sur sa chaîne Telegram. Le groupe déclare avoir eu accès aux systèmes backend d’Okta pendant plusieurs mois.
« Après une analyse approfondie de ces affirmations, nous avons en fait conclu qu’un petit pourcentage de clients – environ 2,5 % – ont potentiellement été touchés et dont les informations ont pu être consultées ou exploitées. Nous avons en fait identifié ces consommateurs et les appelons directement », a commenté David Bradbury, directeur de la sécurité d’Okta.
La portée du piratage est inconnue, mais accéder aux systèmes internes d’Okta pourrait permettre au groupe de cibler un large éventail d’entreprises utilisant les services d’Okta. Cela comprend les entreprises, les universités et les entreprises du gouvernement fédéral qui dépendent d’Okta pour valider l’accès de leurs utilisateurs aux systèmes internes.
« D’innombrables entreprises utilisent Okta pour protéger et gérer leur identité. Cela indique en pratique qu’Okta gère d’énormes quantités d’utilisateurs dans le monde. Des compromis de cette ampleur peuvent avoir un impact grave dans le monde entier et développer un effet domino dans les entreprises dans lesquelles l’identité des membres de leur personnel et des professionnels est éventuellement compromise », a commenté Lotem Finkelsteen, responsable de Hazard Intelligence and Étude de recherche sur l’application logicielle Check Point.
Fikelsteen a ajouté que grâce aux secrets privés récupérés dans Okta, le cybergang pourrait avoir accès aux réseaux et applications de l’entreprise. Ainsi, il pense qu’une brèche à Okta pourrait entraîner des répercussions éventuellement terribles qui doivent encore être vues ou exposées à ce stade. La façon dont le groupe a réussi à franchir ces objectifs n’a jamais été totalement claire pour le grand public. Si cela est vrai, Fikelsteen pense que la brèche chez Okta pourrait expliquer comment Lapsus$ a pu atteindre sa récente série d’intrusions efficaces.
Capture d’écran du groupe Lapsus$ Telegram sur l’accès au superutilisateur d’Okta.com /Admin et différents autres systèmes. (Source– Lapsus$ Telegram)
D’autre part, le groupe de piratage déclare également avoir divulgué le code source de Bing, Cortana et d’autres tâches extraites du serveur interne Azure DevOps de Microsoft . Microsoft a vérifié que les pirates Lapsus$ ont pris leur code source au moyen d’un accès limité. Microsoft a également déclaré que le code divulgué n’est pas extrêmement suffisant pour provoquer une élévation du statut de danger que ses équipes de réaction ont arrêté à mi-opération des pirates.
« L’activité que nous avons réellement observée a été attribuée à un groupe à risque que Microsoft suit sous le nom de DEV-0537, également connu sous le nom de LAPSUS$. DEV-0537 est connu pour utiliser une conception d’extorsion et de destruction pures sans déployer de charges utiles de ransomware », a déclaré le Danger Intelligence Center de Microsoft dans son article sur la sécurité.
Sur sa violation de code source, Microsoft a ajouté qu’il « ne s’appuie pas sur le secret du code comme mesure de sécurité et voir le code source ne provoque pas d’élévation du danger. Les tactiques DEV-0537 utilisées dans cette invasion reflètent les tactiques et les méthodes passé en revue dans ce blog. Notre groupe enquêtait déjà sur le compte compromis sur la base de renseignements sur les dangers lorsque la star a ouvertement révélé son intrusion. Cette divulgation publique a intensifié notre action permettant à notre équipe d’intervenir et de perturber le s tar mi-opération, limitant un impact plus global. »
Un problème courant ?
Pour Kevin Bocek, vice-président de la stratégie de sécurité et du renseignement sur les dangers chez Venafi, les attaques ciblant les versions logicielles finissent par être plus courantes pour un certain nombre de raisons.
« Tout d’abord, frapper une cible ouvre la porte à plusieurs cibles. Deuxièmement, les groupes de sécurité et d’avancement ne travaillent souvent pas à l’unisson, laissant les environnements de concepteur mal protégés. Pourtant, ce qui est peut-être beaucoup plus pénible, c’est que lorsqu’un environnement de développeur est compromis il est extrêmement difficile d’y remédier », a déclaré Bocek. « Ce type d’accès donne aux stars de la menace les secrets du royaume, il est donc simple de garder la détermination. Il n’est pas surprenant que nous continuions à voir des attaques de cette nature. »
Bocek a également souligné que ce qui rend cela plus troublant, c’est que de nombreux services dépendent d’un seul fournisseur de services d’identité humaine, mettant tous leurs œufs dans un seul panier. Cela implique que s’il y a une brèche, cela ouvre le kimono mettant plusieurs services en danger d’attaques futures.
« En regardant Lapsus$ en particulier, ils ont l’habitude d’abuser des identités des machines et d’utiliser leur compréhension des environnements de développement à leur avantage. Cela met en péril le système même de confiance qui permet aux makers d’interagir et aux applications logicielles de se mettre en danger. Comme ces types d’attaques finissent par être plus courants, il est crucial que les techniques de protection des pipelines de développement s’adaptent », a ajouté Bocek. « Nous ne pouvons pas avoir d’équipes d’avancement qui travaillent sans la participation de la sécurité, de même, nous ne pouvons pas nous attendre à ce que la sécurité comprenne la complexité des environnements de développement. Nous avons besoin d’un nouveau type de concepteur de sécurité capable de combler l’espace et de permettre une sécurité rapide. »
Peut-on arrêter Lapsus $ ?
Microsoft a suggéré des entreprises activer l’authentification multifacteur (MFA), car il s’agit de l’une des principales lignes de défense contre Lapsus $. Bien que ce groupe tente de reconnaître les lacunes de l’authentification MFA, il reste un pilier essentiel de la sécurité de l’identité pour les employés, les fournisseurs et les autres membres du personnel.
Microsoft a également conseillé aux entreprises de renforcer et de surveiller la posture de sécurité du cloud. Lapsus$ utilise des informations d’identification authentiques pour effectuer des actions malveillantes contre les clients. Étant donné que ces qualifications sont légitimes, certaines activités effectuées peuvent sembler constantes avec le comportement standard de l’utilisateur.
« Nous conseillons aux entreprises de suivre des pratiques de sécurité fonctionnelle extrêmement strictes lorsqu’elles réagissent à une invasion supposée être DEV-0537. Les organisations doivent établir un plan de communication hors bande pour les intervenants en cas d’événement qui est fonctionnel pendant plusieurs jours pendant qu’un examen a lieu, les documents de ce plan d’action doivent être soigneusement conservés et difficilement accessibles », a ajouté Microsoft.
CYBERSÉCURITÉ
Décomposer les plus grands dangers de cybersécurité entrants en 2022
Dans le même temps, un autre problème est la mise en péril des identités des appareils qui provoquent des fuites de code source. Patrick Selva, Senior Citizen Security Engineer chez Venafi, a expliqué que les assaillants ont abusé de l’identité des fabricants pour établir des canaux d’interaction cryptés surprise ou dissimulés et acquérir un accès privilégié aux données et aux ressources.Ceci et de nombreux événements mettent en évidence la nécessité d’une conception de danger où les dangers pour le code source nécessitent de être examiné comme une menace majeure pour la sécurité.
Jonathan Knudsen, Senior Citizen Software Strategist, Synopsys Software Stability Group a ajouté que les entreprises de tous types doivent reconnaître que t le danger de l’application logicielle est un danger pour l’entreprise et prenez les mesures appropriées. Pour Knudsen, gérer le danger logiciel signifie inclure la sécurité à chaque étape de la chaîne d’approvisionnement logicielle, depuis le concept jusqu’aux personnes ou aux systèmes qui utilisent une application. Mais même avec les meilleures défenses possibles, certaines attaques réussiront toujours. La réaction aux événements ainsi que les plans de connexion et l’exécution de l’organisation sont tout aussi cruciaux que les procédures défensives.
« D’après la portée et la fréquence des attaques, Lapus$ semble être une organisation bien dotée en ressources, très probablement soutenue par la mafia ou un État-nation. Bien que le logiciel ait en fait apporté un pouvoir de transformation à toutes les industries, la menace doit être gérée de manière appropriée. Les entreprises doivent garder à l’esprit les magouilles actuelles et ajuster leurs principales priorités et procédures pour amener la menace de la chaîne d’approvisionnement des applications logicielles à des niveaux supportables, » a déclaré Knudsen. »
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
