Microsoft ha confirmado que la banda de piratas informáticos LAPSUS$ pudo comprometer una cuenta con acceso limitado, pero que ha dejado en el aire la cuestión de la exfiltración del código fuente.
«Ningún código de cliente o datos estuvieron involucrados en las actividades observadas. Nuestra investigación encontró que una sola cuenta había sido comprometida, otorgando acceso limitado. Nuestros equipos de respuesta de seguridad cibernética se comprometieron rápidamente para remediar la cuenta comprometida y evitar más actividad», dijo Microsoft.
«Microsoft no confía en el secreto del código como medida de seguridad y ver el código fuente no conduce a una elevación del riesgo.
«Nuestro equipo ya estaba investigando la cuenta comprometida en base a inteligencia de amenazas cuando el actor reveló públicamente su intrusión. Esta divulgación pública intensificó nuestra acción, lo que permitió a nuestro equipo intervenir e interrumpir al actor en medio de la operación, lo que limitó un impacto más amplio».
El martes, LAPSUS$ publicó un archivo torrent que afirma contener código fuente de Bing, Bing Maps y Cortona.
«Bing maps es un 90% de volcado completo. Bing y Cortana alrededor de un 45%», dijo el grupo.
La confirmación de Microsoft del compromiso estaba contenida en una publicación de blog, que enumeraba las técnicas del grupo.
«Sus tácticas incluyen ingeniería social basada en teléfonos: intercambio de SIM para facilitar la toma de control de cuentas, acceso a cuentas de correo electrónico personales de empleados en organizaciones objetivo, pago a empleados, proveedores o socios comerciales de organizaciones objetivo para acceder a credenciales y aprobación de autenticación multifactorial; e intrusión en las llamadas de comunicación de crisis en curso de sus objetivos», dijo Microsoft.
«Las tácticas y los objetivos indican que se trata de un actor ciberdelincuente motivado por el robo y la destrucción».
Se ha observado que el grupo, llamado DEV-0537 por Microsoft, usa vulnerabilidades en Confluence, JIRA y GitLab para elevar los privilegios, llamar a los servicios de asistencia técnica para restablecer las contraseñas, robar bases de datos de Active Directory y hacer uso de NordVPN para parecer que están en geografía similar a los objetivos.
«Si obtienen acceso privilegiado al inquilino de la nube de una organización (ya sea AWS o Azure), DEV-0537 crea cuentas de administrador global en las instancias de la nube de la organización, establece una regla de transporte de correo a nivel de inquilino de Office 365 para enviar todo el correo dentro y fuera del organización a la cuenta recién creada, y luego elimina todas las demás cuentas de administrador global, por lo que solo el actor tiene el control exclusivo de los recursos de la nube, bloqueando efectivamente a la organización de todo acceso», dijo Microsoft.
«Después de la exfiltración, DEV-0537 a menudo elimina los sistemas y recursos del objetivo. Hemos observado la eliminación de recursos tanto en las instalaciones (por ejemplo, VMWare vSphere/ESX) como en la nube para desencadenar el proceso de respuesta a incidentes y crisis de la organización».
El grupo también ha utilizado servicios de mensajería internos para comprender cómo reaccionan las víctimas.
«Se evalúa que esto proporciona a DEV-0537 información sobre el estado mental de la víctima, su conocimiento de la intrusión y un lugar para iniciar demandas de extorsión», dijo Microsoft.
«En particular, se ha observado que DEV-0537 se une a puentes de respuesta a incidentes dentro de organizaciones específicas que responden a acciones destructivas. En algunos casos, DEV-0537 ha extorsionado a las víctimas para evitar la liberación de datos robados, y en otros, no se hizo ningún intento de extorsión y DEV -0537 filtró públicamente los datos que robaron».
En las últimas 24 horas, LAPSUS$ también afirmó haber dado un golpe a Okta. En respuesta, Okta dijo que el grupo tuvo acceso a la computadora portátil de un ingeniero de soporte durante un período de cinco días.
En respuesta a Okta, el grupo dijo que el dispositivo comprometido era un cliente ligero y obtuvo acceso a un portal de superusuario que podía restablecer la contraseña y la autenticación multifactor del 95% de los clientes.
«Para una empresa que apoya la confianza cero, los ingenieros de soporte parecen tener un acceso excesivo a Slack. ¿8.600 canales?» dijo el grupo.
«El impacto potencial para los clientes de Okta NO es limitado, estoy bastante seguro de que restablecer las contraseñas y MFA resultaría en un compromiso total de los sistemas de muchos clientes».
El grupo pidió a Okta que contratara una empresa de ciberseguridad y que publicara cualquier informe que completen. También afirmó que Okta estaba almacenando claves de AWS dentro de Slack.
