Cyberbezpieczeństwo
Włamanie do giganta w zarządzaniu tożsamością
![](https://cdn.defence24.pl/2022/03/22/800x450px/mvNe5mxhzcQH99f7wQpUNcgXsWdndAdARDQUVm8w.c1xf.jpg)
Grupa LAPSUS$ miała włamać się do lidera w zarządzaniu tożsamością i dostępem - frimy „Okta”, a także dopuścić się kradzieży kodu źródłowego niektórych produktów Microsoftu.
Serwis Sekurak uzsykał dostęp do zrzutów ekranu, udostępnionych przez grupę. Wynika z nich, że włamanie do Okta nastąpiło w poniedziałek 21 marca br.
In late January 2022, Okta detected an attempt to compromise the account of a third party customer support engineer working for one of our subprocessors. The matter was investigated and contained by the subprocessor. (1 of 2)
— Todd McKinnon (@toddmckinnon) March 22, 2022
"Atakujący mieli kompromitować poświadczenia administratora, ale powstrzymali się od pobierania baz danych Okta, uwagę skupiając na klientach (oraz klientach klientów)" - wskazują eksperci.
![Zrzut ekranu udostępniony przez grupę LAPSUS$.](https://cdn.defence24.pl/2022/03/22/580xpx/xJZxo6etplNvugnBKiHpSVb5r3JnBRzGMxMNjRX1.tzly.jpg, https://cdn.defence24.pl/2022/03/22/1920xpx/xJZxo6etplNvugnBKiHpSVb5r3JnBRzGMxMNjRX1.in5m.jpg 2x)
Autor. vx-underground (@vxunderground)/Twitter
Ze screenów wynika także, że "środowisko labowe" członkowie LAPSUS$ stworzyli przy użyciu np. VirtualBox'a (od Oracle), a także, że używają GlobalProtect (VPN od PaloAlto).
![Zrzut ekranu udostępniony przez grupę LAPSUS$.](https://cdn.defence24.pl/2022/03/22/580xpx/nVOuJSIDA8DloWgwYUBT2mLx8q4JurlAhvI43Dse.grt6.jpg, https://cdn.defence24.pl/2022/03/22/1920xpx/nVOuJSIDA8DloWgwYUBT2mLx8q4JurlAhvI43Dse.brx1.jpg 2x)
Autor. vx-underground (@vxunderground)/Twitter
Błędne nazewnictwo?
W odniesieniu do LAPSUS$ warto wskazać, że jedno z kont na Twitterze "vx-underground" (zajmujące się złośliwym oprogramowaniem) podkreśla, iż nie jest to grupa ranosomware, jak można usłyszeć. Wynika to z faktu, że jej przedstawiciele nie używają oprogramowania szyfrującego.
LAPSUS$ isn't a ransomware group, so stop calling them a ransomware group. Ransomware groups use ransomware, hence the term "ransomware group". LAPSUS$ doesn't use ransomware.
— vx-underground (@vxunderground) March 22, 2022
Stop calling LAPSUS$ a ransomware group.
Czytaj też
Przypomnijmy, że na początku marca br. po włamaniu do firmy NVIDIA, cyberprzestępcy z grupy Lapsus$, stojący za tym cyberatakiem, pokonali zabezpieczenia Vodafone. Operator nie miał pojęcia, że został zhakowany.
Jak informowaliśmy, członkowie grupy przed podjęciem wrogich działań stworzyli ankietę dla swoich obserwujących w ramach Telegrama z pytaniem, czyje skradzione dane powinny zostać ujawnione w następnej kolejności. Wśród firm, których rzekomo skradzione dane znalazły się w sondażu, były: firma e-commerce MercadoLibre/MercadoPago, portugalski koncern medialny Impresa i brytjsko-niemiecki operator komórkowy Vodafone. Ponad 50 proc. głosów padło na Vodafone.
Czytaj też
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.