黑客LAPSUS$入侵微软并泄露其Cortana和Bing的源代码

目录导航

LAPSUS$ 黑客声称已经入侵了微软并窃取了大量数据。该组织还声称可以访问属于 Microsoft Azure 的多个 DevOps 帐户，如果得到证实，这可能是今年最大的网络安全事件。

谁是 LAPSUS$ 黑客

据报道，LAPSUS$ 是一个巴西黑客组织，在过去几周内三星、育碧和英伟达的数据泄露事件都是出自他的手笔。上周末，黑客在其 Telegram 频道上发布了一张截图，显示他们已经访问了微软内部系统。

其中一个屏幕截图似乎来自 Azure DevOps 帐户，这是微软提供的一种产品，允许开发人员在项目上进行协作。然而，几分钟后，该帖子被删除，该团伙又发了一条消息，上面写着：“暂时删除，稍后再发。”

已删除屏幕截图中列出的项目：

LAPSUS$ 组织发布的屏幕截图中列出的项目包括：

必应Cubator
创意创作
Bing_UX：Bing.com 前端 (SNR) + 其他相关的 UX 代码库
Cortana：Cortana 主项目，包括相关代码和工作项。
必应源代码：存储整个必应源代码的主项目。
Compliance_Engineering：WebXT 合规工程团队项目。
Bing_Test_Agile：通过敏捷模板执行的 Bing 测试项目。
Bing_STC-SV：包含硅谷办公室几个 Bing 工程项目的源代码

最关键的项目是 Cortana 和 Bing 源代码，其中包含整个产品的源代码。微软发言人表示，他们知道这一说法并对其进行调查。

黑客LAPSUS$入侵微软并泄露其Cortana和Bing的源代码 — LAPSUS$黑客在telegram公开的数据

根据黑客发布的数据来看,有9.29GB数据

数据泄露真实性

尽管这家科技巨头正在调查这个问题，但一些网络安全研究人员担心 LAPSUS$ 黑客泄露的数据似乎是真实的。来自@S0ufi4n3 推特账号的法国信息安全研究员 Soufiane Tahiri表示，根据他的分析，“微软的泄密事件是 100% 的，其中包含大量数据，包括一些电子邮件和一些公开签名的强名/私钥、一些代码签名证书……还有很多代码。”

Tahiri 继续确认他能够使用来自 Lapsus 泄漏的微软证书之一签署程序集。

LAPSUS$发布的部分截图

周日清晨，Lapsus$ 团伙在他们的 Telegram 频道上发布了一张截图，表明他们入侵了微软的 Azure DevOps 服务器，其中包含 Bing、Cortana 和其他各种内部项目的源代码。

周一晚上，黑客组织发布了一个 9 GB 7zip 档案的种子，其中包含他们认为属于微软的 250 多个项目的源代码。

在发布种子时，Lapsus$ 表示其中包含 90% 的 Bing 源代码以及大约 45% 的 Bing Maps 和 Cortana 代码。

尽管他们说只有部分源代码被泄露，但 BleepingComputer 被告知未压缩的存档包含大约 37GB 的源代码，据称属于微软。

一些泄露的项目包含电子邮件和文档，这些电子邮件和文档显然被微软工程师在内部用于发布移动应用程序。

这些项目似乎是针对基于 Web 的基础设施、网站或移动应用程序，没有发布 Microsoft 桌面软件的源代码，包括 Windows、Windows Server 和 Microsoft Office。

当我们就今晚的源代码泄漏与微软联系时，他们说这些说法并正在调查。

Okta突破口

LAPSUS$ 黑客还声称已经入侵了身份验证服务提供商 Okta, Inc. 在其 Telegram 组中，LAPSUS$ 黑客分享了该公司内部基础设施的屏幕截图，包括该公司的 Atlassian 套件和内部 Slack 频道。

目前尚不清楚威胁行为者是如何破坏这些存储库的，但一些安全研究人员认为，他们正在向公司内部人员支付访问费用。

“从我的角度来看，他们继续通过公司内部人员获取访问权限，”威胁情报分析师 Tom Malka 说

这个理论并不牵强，因为 Lapsus$ 此前曾宣布，他们愿意从员工那里购买网络访问权。

然而，它可能不止于此，因为 Lapsus$ 发布了他们访问声称是 Okta 内部网站的屏幕截图。由于 Okta 是一个身份验证和身份管理平台，如果 Lapsus$ 成功入侵该公司，他们可能会将其用作公司客户的跳板。

该组织继续解释说，这些屏幕截图是在访问 Okta.com 的超级用户/管理员和其他各种系统后拍摄的。” 此外，黑客表示他们没有访问或窃取 Okta 的数据库，因为他们的重点是 “Okta 客户”。

telegram上的 Okta 截图:

对于为许多大公司提供身份验证系统的服务（并获得 FEDRAMP 批准），我认为这些安全措施相当糟糕。
–LAPSUS$ 黑客

在发表本文时，Okta, Inc. 正在调查此事件。然而，该公司的首席执行官托德·麦金农今天早些时候在Twitter 上解决了这个问题，并证实有人试图在 2022 年 1 月下旬破坏为我们的一个子处理器工作的第三方客户支持工程师的账户。

McKinnon 认为 LAPSUS$ 黑客发布的截图与 1 月份的事件有关。另一方面，@BillDemirkapi 的 Twitter 账号的网络安全研究员 Bill Demirkapi指出，在分析了该组织共享的一个屏幕截图后，“看来他们已经获得了 Cloudflare 租户的访问权限，并且能够重置员工密码。”

Demirkapi 进一步表示，LAPSUS$ 可能通过滥用 Okta 自己的远程控制工具来监视员工，从而获得了所有这些访问权限。它会解释为什么 Chrome 浏览器会登录到用户，如其中一个屏幕截图所示。

专家评论

Check Point 的安全研究员兼威胁情报和研究主管 Lotem Finkelsteen 表示：“如果属实，Okta 的漏洞可能解释了 Lapsus$ 是如何实现其最近的字符串成功的。成千上万的公司使用 Okta 来保护和管理他们的身份。通过在 Okta 中检索到的私钥，网络团伙可以访问公司网络和应用程序。”

“因此，Okta 的违规行为可能会导致潜在的灾难性后果。如果您是 Okta 客户，我们强烈建议您保持高度警惕并采取网络安全措施。网络团伙的全部资源将在未来几天内暴露出来，”芬克尔斯汀警告说。

转载请注明出处及链接