目前，微軟公司和Okta公司都在調查核實黑客組織Lapsus$早先宣稱破壞攻擊他們系統的說法是否真實。黑客組織Lapsus$聲稱自己獲得了訪問Okta公司內部系統的“超級用戶/管理員”權限。并且還在Telegram頻道發布了近40GB的文件，其中包括了據說來源于微軟內部項目以及系統的屏幕截圖和源代碼。這則令人震驚的消息最早由Vice和路透社報道。

Okta公司周二證實，該公司確實遭受了網絡黑客的攻擊，且一些用戶也受到了不同程度的影響。盡管此次網絡安全漏洞的范圍尚未明晰，但不容樂觀的是漏洞可能是巨大的。根據該公司的說法，他們正在為數億用戶提供網絡平臺服務，其中就包括了聯邦快遞、穆迪公司(債權評級機構)、T-Mobile公司(德國電信的子公司)、惠普公司和GrubHub公司(美國大型食品配送公司)等數千家大型公司的員工。

一位微軟公司的發言人告訴Threatpost，在公司內部調查時發現一個具有訪問權限的公司賬戶被盜。微軟公司的網絡安全響應團隊正在迅速地對被盜賬戶進行補救，亡羊補牢，猶未為晚，以防止黑客組織利用該賬戶進行下一步的活動。該發言人同時表示他們并不將代碼的保密性作為唯一地網絡安全防范措施，查看源代碼的行為與公司內的風險提升并無直接的聯系。微軟的威脅情報團隊在周二發布了一個博客，詳細介紹了其觀察Lapsus$的活動，微軟將其標記為DEV-0537。

“非常令人擔憂”

被泄露的Okta屏幕截圖內容包括Okta公司Slack頻道以及其Cloudflare界面。Lapsus$組織在隨后的一條消息中表示，他們僅僅關注Okta的使用客戶。

獨立安全研究員Bill Demirkapi在推特上表示，屏幕截圖所泄露的內容十分令人擔憂。LAPSUS$組織似乎已經獲得了@Cloudflare租戶的訪問權限并能夠重置員工密碼。

Cloudflare公司在周二宣布，該公司不會拿員工的Okta授權權限進行冒險。Cloudflare公司聯合創始人兼首席執行官Matthew Prince在推特上表示，他們出于謹慎行事才使用Okta系統對員工身份進行驗證。

出于謹慎，我們正在重置過去4個月中更改過員工密碼的@Okta憑據。我們絕對不會對網絡攻擊妥協。但是鑒于Okta公司僅僅是一家從事網絡安全驗證的公司，如果他們出現了問題，我們也會適時的評估替代他們的方案。

— Matthew Prince ?2022年3月22日

網絡安全漏洞時間之長令人擔憂

Demirkapi從泄露出的屏幕截圖發現了另一個可怕之處：即屏幕截圖的時間表明日期Lapsus$組織至少于2022年1月21日之前就進入安全系統內部。Demirkapi表示如果日期正確，那就表明Okta公司至少有兩個月沒有公開承認其內部存在任何違規行為。

屏幕截圖非常令人擔憂。在圖片中，LAPSUS$組織似乎已經獲得了@Cloudflare租戶的訪問權限，并且能夠隨心所欲地重置員工密碼：pic.twitter.com/OZBMenuwgJ。

— Bill Demirkapi(@BillDemirkapi)2022年3月22日

如果這些日期屬實，就意味著Lapsus$組織已經黑入Okta公司系統已經長達數月之久，這也表明Lapsus$組織在被發現之前享受了短暫的狂歡。這無疑是事實。

本周二Okta首席執行官Todd McKinnon在推特上表示：在2022年1月Okta公司發覺到一位為Okta的子處理器工作的第三方客戶支持工程師試圖妥協，但是此事已經由子公司調查并處理了。Okta公司認為，網絡中流出的Lapsus$屏幕截圖與1月份的事件有關。Okta首席執行官表示：根據他們迄今為止的調查，除了1月份發現的活動與Lapsus$組織有關，并沒有其他證據表明存在持續的惡意活動。

我們認為，在線共享的屏幕截圖與今年1月份的活動有關。根據我們迄今為止的調查，除了1月份發現的活動外，沒有證據表明存在持續的惡意活動。

— Todd McKinnon(@toddmckinnon)2022年3月22日

內部員工參與了嗎？

如果上述的日期準確，那么就意味著Lapsus$在3月10日在其電報頻道上發布需要幫助的通知很可能成功獲得了響應的。該組織發帖聲稱，它希望能夠招募一些公司內部人士來幫助其開展他骯臟的工作。這些公司就有微軟公司以及一些其他的大型軟件、游戲公司包括蘋果公司、IBM公司、EA、一些電信公司包括Telefonica(西班牙電話公司)、ATT(美國電話電報公司)等。

Lapsus$組織3月10日的電報帖子：

我們正在招聘以下員工/內部人員!!!!注意：我們不是在尋找數據，我們正在尋找可以為我們提供VPN或CITRIX接入內部系統的內部人員。“這也就意味著網絡犯罪分子可以在內部人士的幫助下滲透進入目標網絡。

關于必應、必應地圖、Cortana被盜的數據

周一，Lapsus$組織開始分發10GB的壓縮檔案，這其中據稱包含了微軟必應搜索引擎、必應地圖的內部數據以及該公司語音助理軟件Cortana的源代碼。

泄露的數據日期為2022年3月20日。

“Bing地圖是90%的完整轉儲。Bing和Cortana約為45%，”Lapsus$在其電報頻道上寫道。

微軟公司承認了這些說法，并表示正在竭盡全力進行調查。

Lapsus$組織調侃了Okta公司的索賠聲明

周二，Okta公司首席安全官Davis Bradbury在一份更新的聲明中提出了對于Lapsus$組織的索賠，但是在幾個小時內該份聲明就遭到了調侃。Demirkapi在推特上發布了Lapsus$組織的回擊：

LAPSUS$勒索軟件集團對Okta的聲明做出了以下回應。pic.twitter.com/D6KYQjnKPU

— Bill Demirkapi(@BillDemirkapi)2022年3月22日

除此之外，Lapsus$組織還調侃了Bradbury關于該組織在1月份試圖破壞工程師筆記本電腦的描述，Lapsus$組織聲稱該名工程師并沒有提供有效的信息。該團伙還嘲笑Bradbury關于他們在1月份訪問工程師帳戶的嘗試沒有成功的說法?！拔覀內匀徊淮_定這怎么會失敗?我們成功登錄了超級用戶門戶網站，并且能夠重置密碼和登錄約95%客戶的MFA，這難道不成功？”Lapsus$組織還表示，Okta公司所宣稱的相關攻擊僅導致有限潛在影響的說法是錯誤的。他們能夠確信重置密碼和MFA將導致許多客戶端系統完全受損。在這篇文章發布時，Okta公司尚未回應Threatpost對Lapsus$索賠發表評論的請求。

Lapsus$組織發動了更多的攻擊

相關信息顯示Lapsus$集團發動了越來越多的高調攻擊。在去年12月，它襲擊了巴西衛生部，推翻了數個在線實體，成功刪除了巴西公民新冠肺炎疫苗接種數據的信息，并破壞了簽發數字疫苗接種證書的系統。最近，Lapsus$削弱了葡萄牙媒體巨頭Impresa;攻擊英偉達，使用代碼簽名證書以用于簽署惡意軟件，從而使惡意程序能夠躍過Windows系統內部的安全保護措施;以及他們宣傳從三星竊取的大量專有源代碼;攻擊了刺客信條電子游戲開發商育碧公司。據《安全周刊》報道，周一，該組織還聲稱攻擊了電子巨頭LGE。

Lapsus$是一張萬用牌

供職于網絡安全公司GuidePoint Security的防勒索軟件專家兼首席威脅情報分析師Drew Schmitt，其依靠多年與勒索軟件談判和威脅情報工作的經驗，與該組織能夠直接進行交流互動。

他在周二告訴Threatpost，該組織是一張萬用牌(萬用牌：撲克牌游戲的轉用術語，先指不可事先預知，但是又能在何時時機發揮重要影響)。因為黑客組織不會出于勒索目的對文件或數據進行加密，而是利用泄露敏感數據來將其用于主要勒索工作。他認為，勒索目的的不同使Lapsus$組織與來自Conti、Lockbit等團體使用的傳統勒索軟件方法相區分。同時他也指出Lapsus$組織與傳統勒索軟件組織的另一個不同之處在于，他們使用Telegram進行通信和敲詐勒索，而不是使用TOR服務托管的網站泄漏信息。

此外，他還認為，根據3月11日該組織針對內部人士的招募信息可以發現他們對于目標的初始訪問方式是非正統的。Schmitt認為，Lapsus$組織顯然是獨立運作的，與其他網絡犯罪/勒索軟件辛迪加或民族國家贊助無關。當然隨著對于該組織的分析，上述的判斷可能會發生改變。由于這個群體在過去幾周中聲名狼藉，Schmitt以及他的同事可能會通過新的情報來表明該組織與其他已知群體、辛迪加有所關聯。

Schmitt說，Lapsus$正在改變勒索軟件的游戲方式。他們沒有采用傳統的初始訪問方法，遠離文件加密等手段，并偏離傳統的泄漏網站基礎方法。他預測這些變化可以被更傳統的勒索軟件團體所借鑒采納。

他們的目的不僅于此

據安全專家稱，Lapsus$組織對Okta的舉動清楚地表明他們的目的不僅僅停留在勒索的目的。前政府安全分析師、第三方風險管理公司CyberGRX的現任首席信息安全官 Dave Stapleton認為，Lapsus$組織希望提高其知名度——最好能夠招聘到大型科技公司內部愿意出售遠程訪問的人士。他于周二告訴Threatpost，另一次影響深遠的供應鏈攻擊也可能是由其發動。

Stapleton通過接受電子郵件采訪時認為：雖然目前細節很少，但很明顯，這位攻擊者正在努力打出自己的旗幟，以便繼續提高他們的知名度和地位，這將有利于他們招聘到愿意出售主要技術公司和ISP遠程訪問的內部人士。通過他們對Okta的最新活動可以發現Lapsus$集團本質上是在向潛在新人宣傳他們的運作方式。

鑒于Okta公司是世界各地組織的重要身份提供商，Stapleton擔心這是對于豐田等公司生產供應鏈攻擊的組成部分。他相信Okta的客戶會對此事件進行密切關注。這次影響深遠的供應鏈攻擊的威脅當然引起了我的注意。

Breakwater Solutions的董事總經理Kevin Novak認為Okta后臺漏洞的范圍可能極為有限。否則鑒于Okta龐大的客戶群，他們現在應該已經知道了事情的發生。他說：“雖然有些人猜測這次黑客組織的成功攻擊是否使得人們發現了Okta后臺存在的漏洞，但到目前為止，Okta后臺的全面妥協似乎已經變得更加明顯，但在未來幾個月內，我們也會持續關注。”

Novak指出：“如果Okta的妥協會導致Lapsus$等組織對于客戶信息的攻擊，比如泄露客戶憑證、關鍵材料或與可能導致客戶妥協的環境相關的源代碼，那么Okta可能會因為缺乏對事件的充分了解、未能及時通知而受到該領域的更大審查?！?/p>

我們該如何應對

顯然到目前為止Okta漏洞未能得到及時彌補。但盡管如此，我們的公司現在可以采取一些措施來保護其員工和網絡。Expel全球運營總監Jon Hencinski告訴Threatpost，立即采取的預防措施包括生成具有特權的Okta密碼和Okta令牌，以及審查Okta過去四個月的管理員身份驗證和活動。

他提供了以下其他提示：

• 更改審查配置以確保它們與預期行動和來源保持一致。
• 審查管理員身份驗證信息并確保它們來源于數據源用戶。
• 找出在同一時期內被MFA禁用的Okta賬戶，并確定此類用戶被禁用的根本原因，然后再為這些帳戶重新啟用MFA。
• 在審查的過程中，及時地與利益相關者坦誠地溝通您正在做的事情和已經做的事情。
• 同時這也是一個測試事件響應計劃(IRP)的機會。如果您沒有IRP，請創建一個，然后重復地測試它。

“機會永遠是留給有準備的人，”Hencinski補充道。

來源：https://threatpost.com/lapsus-data-kidnappers-claim-snatches-from-microsoft-okta/179041/