Microsoft en Okta onderzoeken mogelijke Lapsus$-hack

Microsoft onderzoekt de beweringen dat de cybercriminele bende Lapsus$ hun interne Azure DevOps broncode repositories heeft gekraakt en gegevens heeft gestolen. Ook Okta, een authenticatie- en identiteitsbeheerplatform, onderzoekt beweringen van Lapsus$ waarin ze stellen grote merken als Nvidia, Samsung, Ubisoft en Vodafone te hebben gekraakt.

Kim LoohuisMeer van deze auteur

crime scene — © CC BY-SA 2.0 -Flickr

CC BY-SA 2.0 -Flickr

Afgelopen zondag postte de Lapsus$-bende een screenshot op hun Telegram-kanaal waaruit blijkt dat ze Microsoft's Azure DevOps-server hebben gehackt die broncode bevat voor Bing, Cortana en verschillende andere interne projecten. Vervolgens postte de op maandag een torrent voor een 9 GB groot 7zip-archief met daarin de broncode van meer dan 250 projecten die volgens hen aan Microsoft toebehoren.

Bij het posten van de torrent, zei Lapsus$ dat het 90 procent van de broncode voor Bing bevatte en ongeveer 45 procent van de code voor Bing Maps en Cortana.

Hacken en afpersen

Lapsus$ is een groep criminelen die gegevens buitmaakt en bedrijven afperst. Ze dringen bedrijfssystemen binnen om broncode, klantenlijsten, databases en andere waardevolle gegevens te stelen. Vervolgens proberen ze slachtoffers af te persen met losgeldeisen en de dreiging om de gegevens publiekelijk te lekken. De afgelopen maanden heeft Lapsus$ talrijke cyberaanvallen op grote bedrijven bekendgemaakt, onder meer op NVIDIA, Samsung, Vodafone, Ubisoft, en Mercado Libre.

Medewerkers omkopen

Tot nu toe hebben de meeste aanvallen zich gericht op broncode-repositories, waardoor de dreigingsactoren gevoelige, bedrijfseigen gegevens konden stelen, zoals NVIDIA's lite hash rate (LHR)-technologie waarmee grafische kaarten de mijncapaciteit van een GPU kunnen beperken. Het is onbekend hoe de dreigingsactoren deze repositories binnendringen, maar beveiligingsonderzoekers denken dat ze insiders van bedrijven betalen voor toegang. Die theorie is niet eens zo vergezocht, aangezien Lapsus$ eerder heeft aangekondigd dat ze bereid zijn om toegang tot netwerken van werknemers te kopen.

Toegang via Okta

Maar er wordt ook gevreesd dat Lapsu$ de interne websites van MFA-specialist Okta heeft gekraakt. Er zijn screenshots in omloop die laten zien dat de groep ‘superuser’ of admin-toegang had tot Okta.com. Daarbij staat geschreven: “Voor een dienst die authenticatiesystemen levert aan veel van de grootste bedrijven (en FEDRAMP goedgekeurd) denk ik dat deze beveiligingsmaatregelen behoorlijk slecht zijn.Voordat mensen beginnen te vragen: we hebben geen databases van Okta geopend/gestolen - onze focus lag alleen op Okta-klanten.”

Naast superuser-rechten laten de screenshots van de groep naar verluidt zien dat ze toegang hadden tot Okta's AWS, Jira, Confluence, Zoom, Salesforce, Splunk, Google Workspace en andere interne bedrijfsaccounts. Okta onderzoekt de beweringen van Lapsu$ dat ze maandenlang admin-toegang hadden tot zijn back-end systemen.