黑客组织宣称攻击了微软公司和Okta公司

发表于:2022-4-06 09:28

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:我们会有自己的猫    来源:嘶吼网

#
黑客
分享:
  目前,微软公司和Okta公司都在调查核实黑客组织Lapsus$早先宣称破坏攻击他们系统的说法是否真实。黑客组织Lapsus$声称自己获得了访问Okta公司内部系统的“超级用户/管理员”权限。并且还在Telegram频道发布了近40GB的文件,其中包括了据说来源于微软内部项目以及系统的屏幕截图和源代码。这则令人震惊的消息最早由Vice和路透社报道。
  Okta公司周二证实,该公司确实遭受了网络黑客的攻击,且一些用户也受到了不同程度的影响。尽管此次网络安全漏洞的范围尚未明晰,但不容乐观的是漏洞可能是巨大的。根据该公司的说法,他们正在为数亿用户提供网络平台服务,其中就包括了联邦快递、穆迪公司(债权评级机构)、T-Mobile公司(德国电信的子公司)、惠普公司和GrubHub公司(美国大型食品配送公司)等数千家大型公司的员工。
  一位微软公司的发言人告诉Threatpost,在公司内部调查时发现一个具有访问权限的公司账户被盗。微软公司的网络安全响应团队正在迅速地对被盗账户进行补救,亡羊补牢,犹未为晚,以防止黑客组织利用该账户进行下一步的活动。该发言人同时表示他们并不将代码的保密性作为唯一地网络安全防范措施,查看源代码的行为与公司内的风险提升并无直接的联系。微软的威胁情报团队在周二发布了一个博客,详细介绍了其观察Lapsus$的活动,微软将其标记为DEV-0537。
  “非常令人担忧”
  被泄露的Okta屏幕截图内容包括Okta公司Slack频道以及其Cloudflare界面。Lapsus$组织在随后的一条消息中表示,他们仅仅关注Okta的使用客户。
  独立安全研究员Bill Demirkapi在推特上表示,屏幕截图所泄露的内容十分令人担忧。LAPSUS$组织似乎已经获得了@Cloudflare租户的访问权限并能够重置员工密码。
  Cloudflare公司在周二宣布,该公司不会拿员工的Okta授权权限进行冒险。Cloudflare公司联合创始人兼首席执行官Matthew Prince在推特上表示,他们出于谨慎行事才使用Okta系统对员工身份进行验证。
  Lapsus$组织发动了更多的攻击
  相关信息显示Lapsus$集团发动了越来越多的高调攻击。在去年12月,它袭击了巴西卫生部,推翻了数个在线实体,成功删除了巴西公民新冠肺炎疫苗接种数据的信息,并破坏了签发数字疫苗接种证书的系统。最近,Lapsus$削弱了葡萄牙媒体巨头Impresa;攻击英伟达,使用代码签名证书以用于签署恶意软件,从而使恶意程序能够跃过Windows系统内部的安全保护措施;以及他们宣传从三星窃取的大量专有源代码;攻击了刺客信条电子游戏开发商育碧公司。据《安全周刊》报道,周一,该组织还声称攻击了电子巨头LGE。
  Lapsus$是一张万用牌
  供职于网络安全公司GuidePoint Security的防勒索软件专家兼首席威胁情报分析师Drew Schmitt,其依靠多年与勒索软件谈判和威胁情报工作的经验,与该组织能够直接进行交流互动。
  他在周二告诉Threatpost,该组织是一张万用牌(万用牌:扑克牌游戏的转用术语,先指不可事先预知,但是又能在何时时机发挥重要影响)。因为黑客组织不会出于勒索目的对文件或数据进行加密,而是利用泄露敏感数据来将其用于主要勒索工作。他认为,勒索目的的不同使Lapsus$组织与来自Conti、Lockbit等团体使用的传统勒索软件方法相区分。同时他也指出Lapsus$组织与传统勒索软件组织的另一个不同之处在于,他们使用Telegram进行通信和敲诈勒索,而不是使用TOR服务托管的网站泄漏信息。
  此外,他还认为,根据3月11日该组织针对内部人士的招募信息可以发现他们对于目标的初始访问方式是非正统的。Schmitt认为,Lapsus$组织显然是独立运作的,与其他网络犯罪/勒索软件辛迪加或民族国家赞助无关。当然随着对于该组织的分析,上述的判断可能会发生改变。由于这个群体在过去几周中声名狼藉,Schmitt以及他的同事可能会通过新的情报来表明该组织与其他已知群体、辛迪加有所关联。
  Schmitt说,Lapsus$正在改变勒索软件的游戏方式。他们没有采用传统的初始访问方法,远离文件加密等手段,并偏离传统的泄漏网站基础方法。他预测这些变化可以被更传统的勒索软件团体所借鉴采纳。
  他们的目的不仅于此
  据安全专家称,Lapsus$组织对Okta的举动清楚地表明他们的目的不仅仅停留在勒索的目的。前政府安全分析师、第三方风险管理公司CyberGRX的现任首席信息安全官 Dave Stapleton认为,Lapsus$组织希望提高其知名度——最好能够招聘到大型科技公司内部愿意出售远程访问的人士。他于周二告诉Threatpost,另一次影响深远的供应链攻击也可能是由其发动。
  Stapleton通过接受电子邮件采访时认为:虽然目前细节很少,但很明显,这位攻击者正在努力打出自己的旗帜,以便继续提高他们的知名度和地位,这将有利于他们招聘到愿意出售主要技术公司和ISP远程访问的内部人士。通过他们对Okta的最新活动可以发现Lapsus$集团本质上是在向潜在新人宣传他们的运作方式。
  鉴于Okta公司是世界各地组织的重要身份提供商,Stapleton担心这是对于丰田等公司生产供应链攻击的组成部分。他相信Okta的客户会对此事件进行密切关注。这次影响深远的供应链攻击的威胁当然引起了我的注意。
  Breakwater Solutions的董事总经理Kevin Novak认为Okta后台漏洞的范围可能极为有限。否则鉴于Okta庞大的客户群,他们现在应该已经知道了事情的发生。他说:“虽然有些人猜测这次黑客组织的成功攻击是否使得人们发现了Okta后台存在的漏洞,但到目前为止,Okta后台的全面妥协似乎已经变得更加明显,但在未来几个月内,我们也会持续关注。”
  Novak指出:“如果Okta的妥协会导致Lapsus$等组织对于客户信息的攻击,比如泄露客户凭证、关键材料或与可能导致客户妥协的环境相关的源代码,那么Okta可能会因为缺乏对事件的充分了解、未能及时通知而受到该领域的更大审查。”
  我们该如何应对
  显然到目前为止Okta漏洞未能得到及时弥补。但尽管如此,我们的公司现在可以采取一些措施来保护其员工和网络。Expel全球运营总监Jon Hencinski告诉Threatpost,立即采取的预防措施包括生成具有特权的Okta密码和Okta令牌,以及审查Okta过去四个月的管理员身份验证和活动。
  他提供了以下其他提示:
  ·更改审查配置以确保它们与预期行动和来源保持一致。
  · 审查管理员身份验证信息并确保它们来源于数据源用户。
  · 找出在同一时期内被MFA禁用的Okta账户,并确定此类用户被禁用的根本原因,然后再为这些帐户重新启用MFA。
  · 在审查的过程中,及时地与利益相关者坦诚地沟通您正在做的事情和已经做的事情。
  · 同时这也是一个测试事件响应计划(IRP)的机会。如果您没有IRP,请创建一个,然后重复地测试它。

  本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号