กลุ่มแฮ็กเกอร์ Lapsus$ อ้างสามารถขโมยข้อมูลของ Microsoft และ Okta ออกมาได้

เมื่อไม่กี่วันก่อนกลุ่มแฮ็กเกอร์ Lapsus$ ได้แผลงฤทธิ์กับบริษัทยักษ์ใหญ่อีกแล้ว คราวนี้เป็นคิวของ Microsoft และ Okta โดยฝ่ายแรกนั้นออกมายืนยันแล้วว่าถูกแทรกแซงจริง

ในกรณีของ Okta ทีมงาน Lapsus$ ได้โพสต์โชว์เหนือว่าตนนั้นเข้าถึงข้อมูลลูกค้าของ Okta ได้ ซึ่งเป็นรูปหน้าจอที่ทำเหมือนว่าตนสามารถเข้าไปเปลี่ยนรหัสผ่านของผู้ใช้งานได้ แต่เมื่อทีมงาน Okta สืบแล้วพบว่าเป็นรูปเก่าที่ช่วงมกราคมที่ผ่านมา มีเครื่องทีมงานของทีมงานดูแลลูกค้าถูกแทรกแซง แต่ก็ไม่มีสัญญาณอื่นที่ชี้ว่าคนร้ายจะมีอะไรมากกว่านี้เหมือนที่คุย

[Update] ล่าสุด Okta ออกมายอมรับแล้วว่ามีข้อมูลลูกค้าถูกเข้าถึงได้จริง https://www.techtalkthai.com/okta-admits-attack-impact-on-customer-data/?

แต่ในมุมของ Microsoft ทีมงาน Lapsus$ ได้เผยแพร่ข้อมูลที่อ้างว่าเป็นโปรเจ็คภายในของ Microsoft Bing, Cortana และ Bing Maps โดยคุยว่าสามารถเข้าไปถึงเซิร์ฟเวอร์ DevOps ทั้งนี้จากการสืบสวนพบว่าเป็นเรื่องจริงโดยคนร้ายสามารถแทรกแซงเครื่องพนักงานคนในรายหนึ่งได้ หลังจากนั้น Microsoft ก็จัดการป้องกันพร้อมทั้งยังยืนยันว่าไม่กระทบถึงข้อมูลลูกค้า และตนก็ไม่ได้อ่อนไหวจากการที่ซอร์สโค้ดถูกเปิดเผยแล้วจะเป็นภัยใหญ่อะไร

ทั้งนี้ Microsoft ได้จัดทำข้อมูลพฤติกรรมของคนร้าย Lapsus$ ไว้ดังนี้

• ใช้เครื่องมือขโมยรหัสผ่านที่ชื่อ Redline เก็บรหัสผ่านและ Session token โดย Redline มักปรากฏอยู่ตามเว็บไซต์ซอฟต์แวร์เถื่อน อีเมลหลอกลวง หรือในวีดีโอยูทูป
• หาซื้อ Credential และ Session Token จากตลาดใต้ดิน
• รับซื้อข้อมูลจากคนในเช่น Credential หรือการอนุมัติ MFA
• สแกนค้นหา Repository ที่เปิดเผยไว้เพื่อหา Credential
• หลังจากแทรกแซง Credential เข้าถึงบริษัทได้แล้วจะพยายามเข้าถึงอุปกรณ์สาธารณะของบริษัทเช่น VPN, VDI หรือบริการจัดการตัวตน
• สำหรับบัญชีที่เปิด MFA คนร้ายจะใช้ Session Replay หรือส่งเตือนหาผู้ใช้เรื่อยๆให้อนุมัติ MFA จนใจอ่อนยอมโดยปริยาย รวมถึงยังทำ SIM Swap ด้วย
• มีการใช้ AD Explorer เพื่อหาบัญชีสิทธิ์สูง ตั้งเป้าสู่โปรแกรม Collaboration เช่น SharePoint, Confluence, JIRA, Slack และ Microsoft Teams รวมถึงแหล่งเก็บซอร์สโค้ดด้วย

การป้องกันที่ Microsoft แนะไว้คือสร้าง MFA ที่แข็งแรง มีการพิสูจน์ตัวตนอย่างทันสมัยในการใช้ VPN ติดตามความมั่นคงปลอดภัยของคลาวด์ ฝึกฝนให้รับมือกับ Social Engineering และทำ Endpoint ให้น่าเชื่อถือมีการป้องกันที่แข็งแรง อย่างไรก็ดี Lapsus$ ถือเป็นกลุ่มแฮ็กเกอร์ที่ร้ายกาจมากโดยสามารถเข้าไปเย้ยหลายบริษัทใหญ่มาแล้วทั้ง Nvidia, Samsung, Ubisoft, Mercado Libre และล่าสุด Microsoft 

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/ และ https://www.bleepingcomputer.com/news/microsoft/lapsus-hackers-leak-37gb-of-microsofts-alleged-source-code/ และ https://www.zdnet.com/article/okta-says-breach-evidence-shared-by-lapsus-ransomware-group-linked-to-january-hack-attempt/ และ https://www.bleepingcomputer.com/news/security/okta-investigating-claims-of-customer-data-breach-from-lapsus-group/