Cyberbezpieczeństwo
Włamanie do giganta w zarządzaniu tożsamością
Grupa LAPSUS$ miała włamać się do lidera w zarządzaniu tożsamością i dostępem - frimy „Okta”, a także dopuścić się kradzieży kodu źródłowego niektórych produktów Microsoftu.
Serwis Sekurak uzsykał dostęp do zrzutów ekranu, udostępnionych przez grupę. Wynika z nich, że włamanie do Okta nastąpiło w poniedziałek 21 marca br.
In late January 2022, Okta detected an attempt to compromise the account of a third party customer support engineer working for one of our subprocessors. The matter was investigated and contained by the subprocessor. (1 of 2)
— Todd McKinnon (@toddmckinnon) March 22, 2022
"Atakujący mieli kompromitować poświadczenia administratora, ale powstrzymali się od pobierania baz danych Okta, uwagę skupiając na klientach (oraz klientach klientów)" - wskazują eksperci.
Ze screenów wynika także, że "środowisko labowe" członkowie LAPSUS$ stworzyli przy użyciu np. VirtualBox'a (od Oracle), a także, że używają GlobalProtect (VPN od PaloAlto).
Błędne nazewnictwo?
W odniesieniu do LAPSUS$ warto wskazać, że jedno z kont na Twitterze "vx-underground" (zajmujące się złośliwym oprogramowaniem) podkreśla, iż nie jest to grupa ranosomware, jak można usłyszeć. Wynika to z faktu, że jej przedstawiciele nie używają oprogramowania szyfrującego.
LAPSUS$ isn't a ransomware group, so stop calling them a ransomware group. Ransomware groups use ransomware, hence the term "ransomware group". LAPSUS$ doesn't use ransomware.
— vx-underground (@vxunderground) March 22, 2022
Stop calling LAPSUS$ a ransomware group.
Czytaj też
Przypomnijmy, że na początku marca br. po włamaniu do firmy NVIDIA, cyberprzestępcy z grupy Lapsus$, stojący za tym cyberatakiem, pokonali zabezpieczenia Vodafone. Operator nie miał pojęcia, że został zhakowany.
Jak informowaliśmy, członkowie grupy przed podjęciem wrogich działań stworzyli ankietę dla swoich obserwujących w ramach Telegrama z pytaniem, czyje skradzione dane powinny zostać ujawnione w następnej kolejności. Wśród firm, których rzekomo skradzione dane znalazły się w sondażu, były: firma e-commerce MercadoLibre/MercadoPago, portugalski koncern medialny Impresa i brytjsko-niemiecki operator komórkowy Vodafone. Ponad 50 proc. głosów padło na Vodafone.
Czytaj też
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.