Το περίεργο όνομα LAPSUS$ που τεράστιοι τίτλοι τον Μάρτιο του 2022 ως το παρατσούκλι μιας συμμορίας hacking, ή, με ακάλυπτα λόγια, ως η ταμπέλα για μια διαβόητη και ενεργή ομάδα εγκληματιών στον κυβερνοχώρο:
Το όνομα ήταν κάπως ασυνήθιστο για ένα πλήρωμα εγκλήματος στον κυβερνοχώρο, το οποίο συνήθως υιοθετεί σουμπρικέ που ακούγονται νευρικά και καταστροφικά, όπως π.χ. DEADBOLT, Σατανάς, Darkside, να Κακά.
Ωστόσο, όπως αναφέραμε τον Μάρτιο, παραγραφή είναι τόσο καλή σύγχρονη λατινική λέξη όσο οποιαδήποτε άλλη για την «παραβίαση δεδομένων» και το σύμβολο του τελικού δολαρίου υποδηλώνει τόσο οικονομική αξία όσο και προγραμματισμό, που είναι ο παραδοσιακός τρόπος να δηλωθεί ότι η μεταβλητή BASIC είναι μια συμβολοσειρά κειμένου, όχι ένας αριθμός.
Η συμμορία, η ομάδα, το πλήρωμα, η κατοχή, η συλλογικότητα, η κουβέντα, πείτε το όπως θέλετε, των επιτιθέμενων προφανώς παρουσίασαν ένα παρόμοιο είδος ασάφειας στην εγκληματικότητα στον κυβερνοχώρο.
Μερικές φορές, φαινόταν να δείχνουν ότι ήταν σοβαροί για την εκβίαση χρημάτων ή την απόσπαση κρυπτονομισμάτων από τα θύματά τους, αλλά σε άλλες φορές έμοιαζαν απλώς να επιδεικνύονται.
Η Microsoft παραδέχτηκε τότε ότι ήταν διεισδύσει από το LAPSUS$, αν και ο γίγαντας λογισμικού αναφέρθηκε στην ομάδα ως DEV-5037, με τους εγκληματίες να κλέβουν προφανώς gigabyte πηγαίου κώδικα.
Η Okta, ένας πάροχος υπηρεσιών 2FA, ήταν ένα άλλο θύμα υψηλού προφίλ, όπου οι χάκερ απέκτησαν πρόσβαση RDP στον υπολογιστή ενός τεχνικού υποστήριξης και ως εκ τούτου μπόρεσαν να έχουν πρόσβαση σε ένα ευρύ φάσμα εσωτερικών συστημάτων της Okta σαν να είχαν συνδεθεί απευθείας στο δίκτυο της Okta .
Αυτός ο τεχνικός υποστήριξης δεν λειτούργησε για την Okta, αλλά για μια εταιρεία συμβεβλημένη με την Okta, έτσι ώστε οι επιτιθέμενοι ουσιαστικά ήταν σε θέση να παραβιάσουν το δίκτυο της Okta χωρίς να παραβιάσουν την ίδια την Okta.
Είναι ενδιαφέρον, παρόλο που η παραβίαση της Okta συνέβη τον Ιανουάριο του 2022, ούτε η Okta ούτε ο ανάδοχός της παραδέχθηκαν δημόσια την παραβίαση για περίπου δύο μήνες, ενώ ιατροδικαστική εξέταση πήρε θέση…
…μέχρι που η LAPSUS$ προφανώς αποφάσισε να προλάβει οποιαδήποτε επίσημη ανακοίνωση από απόρριψη στιγμιότυπων οθόνης για να «αποδείξει» την παραβίαση, κατά ειρωνικό τρόπο την ίδια μέρα που η Okta έλαβε την τελική ιατροδικαστική έκθεση από τον ανάδοχο (πώς, ή εάν, το LAPSUS$ έλαβε εκ των προτέρων προειδοποίηση για την παράδοση της αναφοράς είναι άγνωστο):
Επόμενος στο docket επίθεσης ήταν ο προμηθευτής τσιπ γραφικών Nvidia, ο οποίος προφανώς υπέστη επίσης ληστεία δεδομένων, ακολουθούμενος από έναν από τους Οι πιο περίεργες απαιτήσεις εκβιασμού ransomware με διαφορά εγγεγραμμένος – ανοιχτός κώδικας του προγράμματος οδήγησης γραφικών σας ή αλλιώς:
Όπως είπαμε στο podcast του Naked Security (S3 Επ73):
Κανονικά, η σύνδεση μεταξύ κρυπτονομίσματος και ransomware είναι η εικόνα των απατεώνων: «Πηγαίνετε και αγοράστε κάποιο κρυπτονομίσματα και στείλτε το σε εμάς και θα αποκρυπτογραφήσουμε όλα τα αρχεία σας ή/και θα διαγράψουμε τα δεδομένα σας». […]
Αλλά σε αυτή την περίπτωση, η σύνδεση με τα κρυπτονομίσματα ήταν ότι είπαν: «Θα ξεχάσουμε τα τεράστια δεδομένα που κλέψαμε αν ανοίξετε τις κάρτες γραφικών σας ώστε να μπορούν να κρυπτογραφούν με πλήρη ισχύ».
Διότι αυτό ανάγεται σε μια αλλαγή που έκανε η Nvidia πέρυσι [2021], η οποία ήταν πολύ δημοφιλής στους παίκτες [αποθαρρύνοντας τους cryptominers να αγοράσουν όλες τις GPU της Nvidia στην αγορά για σκοπούς μη γραφικών].
Ένα διαφορετικό είδος κυβερνοεγκληματίας;
Παρά το γεγονός ότι οι διαδικτυακές δραστηριότητες που αποδίδονται στο LAPSUS$ ήταν σοβαρά και ξεδιάντροπα εγκληματικές, η συμπεριφορά της ομάδας μετά την εκμετάλλευση συχνά φαινόταν μάλλον παλιά.
Σε αντίθεση με τους σημερινούς επιτιθέμενους ransomware πολλών εκατομμυρίων δολαρίων, των οποίων τα κύρια κίνητρα είναι χρήματα, χρήματα και περισσότερα χρήματα, το LAPSUS$ προφανώς ευθυγραμμίστηκε πιο στενά με τη σκηνή συγγραφής ιών στα τέλη της δεκαετίας του 1980 και του 1990, όπου οι επιθέσεις πραγματοποιούνταν συνήθως απλώς για καυχησιολογία και «για το lulz».
(Η φράση για το lulz μεταφράζεται περίπου ως για να προκαλέσει προσβλητικά χαρμόσυνα γέλια, με βάση το ακρωνύμιο LOL, συντομογραφία για το "γέλιο δυνατά".)
Έτσι, όταν η αστυνομία του Λονδίνου ανακοίνωσε, μόλις δύο μέρες μετά την εμφάνιση των καθόλου ευχάριστα στιγμιότυπων οθόνης της επίθεσης της Okta, ότι είχε συνελήφθη αυτό που ακουγόταν σαν ένα ετερόκλητο μάτσο νεαρών στο Ηνωμένο Βασίλειο που υποτίθεται ότι ήταν μέλη μιας ομάδας χάκερ…
…τα μέσα πληροφορικής του κόσμου συνδέθηκαν γρήγορα με το LAPSUS$:
Από όσο γνωρίζουμε, οι αρχές επιβολής του νόμου του Ηνωμένου Βασιλείου δεν χρησιμοποίησαν ποτέ τη λέξη LAPSUS$ σε σχέση με τους υπόπτους αυτής της σύλληψης, σημειώνοντας τον Μάρτιο του 2022 απλώς ότι «Οι έρευνές μας συνεχίζονται».
Ωστόσο, μια προφανής σχέση με το LAPSUS$ συνήχθη από το γεγονός ότι ένας από τους νεαρούς που συνελήφθησαν λέγεται ότι ήταν 17 ετών και καταγόταν από το Oxfordshire της Αγγλίας.
Παραδόξως, ένας χάκερ εκείνης της ηλικίας που φέρεται να ζούσε σε μια πόλη λίγο έξω από την Οξφόρδη, την πόλη από την οποία πήρε το όνομά της η γύρω κομητεία, είχε εξοντωθεί από έναν δυσαρεστημένο αντίπαλο για το έγκλημα στον κυβερνοχώρο λίγο πριν, σε αυτό που είναι γνωστό ως Doxing.
Το Doxxing είναι όπου ένας εγκληματίας του κυβερνοχώρου απελευθερώνει σκόπιμα κλεμμένα προσωπικά έγγραφα και λεπτομέρειες, συχνά για να θέσει ένα άτομο σε κίνδυνο σύλληψης από τις αρχές επιβολής του νόμου ή σε κίνδυνο τιμωρίας από κακώς ενημερωμένους ή κακόβουλους αντιπάλους.
Ο doxxer διέρρευσε αυτό που ισχυρίστηκε ότι ήταν η διεύθυνση κατοικίας του αντιπάλου του, μαζί με προσωπικά στοιχεία και φωτογραφίες του ίδιου και των στενών μελών της οικογένειάς του, καθώς και ένα σωρό ισχυρισμούς ότι ήταν κάποιου είδους κρίκος στο πλήρωμα του LAPSUS$.
Το LAPUS$ ξανά στο προσκήνιο
Όπως μπορείτε να φανταστείτε, το πρόσφατο Ιστορίες hacking της Uber αναβίωσε το όνομα LAPSUS$, δεδομένου ότι ο δράστης σε εκείνη την υπόθεση ισχυρίστηκε ευρέως ότι ήταν 18 ετών και προφανώς τον ενδιέφερε μόνο να επιδείξει:
Όπως εξήγησε ο Chester Wisniewski σε πρόσφατο miniode podcast:
[Εγώ] σε αυτήν την περίπτωση, […] φαίνεται να είναι «για το lulz». […Το άτομο που το έκανε συνέλεγε ως επί το πλείστον τρόπαια καθώς αναπηδούσε μέσω του δικτύου – με τη μορφή στιγμιότυπων οθόνης όλων των [των] διαφορετικών εργαλείων και βοηθητικών προγραμμάτων και προγραμμάτων που χρησιμοποιούνταν γύρω από την Uber – και τα δημοσίευε δημόσια, υποθέτω για την πίστη του δρόμου.
Λίγο μετά το hack της Uber, διέρρευσαν μετά από μια εισβολή στα παιχνίδια της Rockstar, σχεδόν μιας ώρας βίντεο κλιπ από το επερχόμενο παιχνίδι GTA6, προφανώς λήψεις οθόνης που έγιναν για σκοπούς εντοπισμού σφαλμάτων και δοκιμών.
Για άλλη μια φορά, ο ίδιος νεαρός χάκερ, με την ίδια υποτιθέμενη σύνδεση με το LAPSUS$, ενεπλάκη στην επίθεση.
Αυτή τη φορά, αναφορές προτείνω ότι ο χάκερ είχε στο μυαλό του κάτι περισσότερο από το να καυχιέται, λέγοντας ότι ήταν «Ψάχνω να διαπραγματευτώ μια συμφωνία».
Έτσι, όταν η αστυνομία του Σίτι του Λονδίνου tweeted νωρίτερα αυτή την εβδομάδα που είχαν «Συλλαμβάνεται ένας 17χρονος στο Oxfordshire ως ύποπτος για πειρατεία»...
Το απόγευμα της Πέμπτης 22 Σεπτεμβρίου 2022, η αστυνομία του Λονδίνου συνέλαβε έναν 17χρονο στο Oxfordshire ως ύποπτο για πειρατεία, στο πλαίσιο έρευνας που υποστηρίζεται από την @NCA_UKΕθνική Μονάδα Εγκλήματος στον Κυβερνοχώρο (NCCU).
Παραμένει υπό κράτηση από την αστυνομία. pic.twitter.com/Zfa3OlDR6J
— Αστυνομία της πόλης του Λονδίνου (@CityPolice) Σεπτέμβριος 23, 2022
…μπορείτε να φανταστείτε σε ποια συμπεράσματα κατέληξε γρήγορα η σφαίρα του Twitter.
Πρέπει να είναι το ίδιο άτομο!
Τελικά, τι πιθανότητα υπάρχει εδώ να μιλάμε για δύο διαφορετικούς και άσχετους ύποπτους;
Το μόνο πράγμα που δεν ξέρουμε είναι πού μπαίνει το παρατσούκλι LAPSUS$, αν όντως εμπλέκεται καθόλου.
Ω, τι μπερδεμένο ιστό υφαίνουμε/Όταν πρώτα εξασκούμαστε στην εξαπάτηση.
ΜΑΘΕΤΕ ΠΩΣ ΝΑ ΑΠΟΦΥΓΕΤΕ ΕΠΙΘΕΣΕΙΣ ΣΤΥΛ LAPSUS
Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.