Redmond affirme qu'aucun code client ni aucune donnée n'ont été récupérés sans déterminer directement si sa propre source a été exfiltrée.
Microsoft a confirmé le gang de hackers LAPSUS$ a réussi à compromettre un compte à accès limité, mais a laissé en suspens la question de l'exfiltration du code source.
"Aucun code ou donnée client n'a été impliqué dans les activités observées. Notre enquête a révélé qu'un seul compte avait été compromis, accordant un accès limité. Nos équipes de réponse en matière de cybersécurité se sont rapidement engagées pour remédier au compte compromis et empêcher toute nouvelle activité", a déclaré Microsoft.
"Microsoft ne s'appuie pas sur le secret du code comme mesure de sécurité et la visualisation du code source n'entraîne pas d'augmentation des risques.
"Notre équipe enquêtait déjà sur le compte compromis sur la base de renseignements sur les menaces lorsque l'acteur a révélé publiquement son intrusion. Cette divulgation publique a intensifié notre action, permettant à notre équipe d'intervenir et d'interrompre l'acteur en cours d'opération, limitant ainsi un impact plus large.
Mardi, LAPSUS$ a publié un fichier torrent prétendant contenir du code source de Bing, Bing Maps et Cortona.
"Les cartes Bing sont un dump complet à 90 %. Bing et Cortana autour de 45%", a indiqué le groupe.
La confirmation par Microsoft de la compromission était contenue dans un article de blog, qui répertoriait les techniques du groupe.
"Leurs tactiques incluent l'ingénierie sociale basée sur le téléphone: échange de cartes SIM pour faciliter le rachat de comptes, accès aux comptes de messagerie personnels des employés de organisations cibles, rémunérant les employés, les fournisseurs ou les partenaires commerciaux des organisations cibles pour accéder aux informations d'identification et à l'authentification multifactorielle approbation; et s'immiscer dans les appels de communication de crise en cours de leurs cibles", a déclaré Microsoft.
"Les tactiques et les objectifs indiquent qu'il s'agit d'un acteur cybercriminel motivé par le vol et la destruction."
Le groupe, nommé DEV-0537 par Microsoft, a été observé en train d'utiliser des vulnérabilités dans Confluence, JIRA et GitLab pour élever ses privilèges, appelant les services d'assistance pour réinitialiser les mots de passe, voler les bases de données Active Directory et utiliser NordVPN pour apparaître comme s'ils se trouvaient dans une zone géographique similaire à celle cibles.
« S'ils réussissent à obtenir un accès privilégié au locataire cloud d'une organisation (AWS ou Azure), DEV-0537 crée des comptes d'administrateur global dans le compte d'administrateur global de l'organisation. instances cloud, définit une règle de transport de courrier au niveau du locataire Office 365 pour envoyer tous les messages entrants et sortants de l'organisation vers le compte nouvellement créé, puis supprime tous les autres comptes d'administrateur global, de sorte que seul l'acteur a le contrôle exclusif des ressources cloud, bloquant ainsi l'organisation de tout accès », Microsoft dit.
"Après l'exfiltration, DEV-0537 supprime souvent les systèmes et ressources de la cible. Nous avons observé la suppression de ressources à la fois sur site (par exemple, VMWare vSphere/ESX) et dans le cloud pour déclencher le processus de réponse aux incidents et aux crises de l'organisation.
Le groupe a également utilisé des services de messagerie internes pour comprendre la réaction des victimes.
"Il est estimé que cela fournit au DEV-0537 un aperçu de l'état d'esprit de la victime, de sa connaissance de l'intrusion et un lieu pour lancer des demandes d'extorsion", a déclaré Microsoft.
« Notamment, DEV-0537 a été observé rejoignant les ponts de réponse aux incidents au sein d'organisations ciblées répondant à des actions destructrices. Dans certains cas, DEV-0537 a extorqué des victimes pour empêcher la divulgation des données volées, et dans d'autres, aucune tentative d'extorsion n'a été faite et DEV-0537 a divulgué publiquement les données volées.
Au cours des dernières 24 heures, LAPSUS$ a également a affirmé avoir fait un succès sur Okta. En réponse, Okta a déclaré que le groupe avait accès à l'ordinateur portable d'un ingénieur de support pendant une période de cinq jours.
Rétorquant à Okta, le groupe a déclaré que l'appareil compromis était un client léger et qu'il avait accès à un portail de superutilisateur capable de réinitialiser le mot de passe et l'authentification multifacteur de 95 % des clients.
« Pour une entreprise qui prend en charge le Zero Trust, les ingénieurs de support semblent avoir un accès excessif à Slack? 8,6 000 chaînes ?", a déclaré le groupe.
"L'impact potentiel sur les clients Okta n'est PAS limité, je suis presque certain que la réinitialisation des mots de passe et de la MFA entraînerait une compromission complète des systèmes de nombreux clients."
Le groupe a demandé à Okta d'embaucher une société de cybersécurité et de publier tout rapport qu'elle réaliserait. Il a également affirmé qu'Okta stockait les clés AWS dans Slack.
Couverture connexe
- Okta: les attaquants de Lapsus$ ont eu accès à l'ordinateur portable de l'ingénieur d'assistance
- Samsung confirme la violation du code source du Galaxy mais affirme qu'aucune information client n'a été volée
- Ubisoft révèle un « incident de sécurité » qui a forcé l'actualisation du mot de passe à l'échelle de l'entreprise
- NVIDIA affirme que les informations d'identification des employés et les informations exclusives ont été volées lors d'une cyberattaque
- Vodafone Portugal victime d'une cyberattaque affectant le réseau 4G/5G, la télévision et les services SMS