Uudishimulik nimi LAPSUS$ tehtud tohutud pealkirjad 2022. aasta märtsis häkkimisjõugu hüüdnimena või, lakkimata sõnadega, kurikuulsa ja aktiivse küberkurjategijate kollektiivi sildina:
Nimi oli mõnevõrra ebatavaline küberkuritegude meeskonna jaoks, kes tavaliselt kasutavad subrikette, mis kõlavad närviliselt ja hävitavalt, nagu näiteks DEADBOLT, Saatan, Darksideja REVIL.
Kuid nagu me juba märtsis mainisime, aegumine on sama hea kaasaegne ladinakeelne sõna, mis tähendab "andmete rikkumist" ja lõpu dollari märk tähistab nii rahalist väärtust kui ka programmeerimist, mis on traditsiooniline viis tähistada, et BASIC muutuja on tekstistring, mitte number.
Ründajate jõuk, meeskond, meeskond, posse, kollektiiv, rämps, kutsuge kuidas tahate, näitasid oma küberkuritegevuses ilmselt sarnast ebaselgust.
Mõnikord näis, et nad kavatsevad tõsiselt oma ohvritelt raha välja pressida või krüptovaluutat välja rebida, kuid mõnikord näisid nad lihtsalt eputamist.
Microsoft tunnistas toona, et see oli nii sisse imbunud LAPSUS$, kuigi tarkvarahiiglane nimetas rühmitust DEV-5037-ks, kusjuures kurjategijad varastasid ilmselt gigabaite lähtekoodi.
2FA teenusepakkuja Okta oli veel üks kõrgetasemeline ohver, kus häkkerid omandasid RDP juurdepääsu tugitehniku arvutile ja pääsesid seetõttu ligi paljudele Okta sisesüsteemidele, nagu oleksid nad otse Okta enda võrku sisse logitud. .
See tugitehnik ei töötanud Okta, vaid Okta lepinguga ettevõtte jaoks, nii et ründajad suutsid sisuliselt Okta võrku murda, Oktat ennast rikkumata.
Huvitaval kombel ei tunnistanud Okta ega selle töövõtja rikkumist umbes kahe kuu jooksul avalikult, kuigi Okta rikkumine juhtus 2022. aasta jaanuaris. kohtuarstlik ekspertiis võttis aset…
…kuni LAPSUS$ otsustas ilmselt ennetada mis tahes ametlikku teadaannet ekraanipiltide dumping rikkumise "tõendamiseks", raudselt samal päeval, kui Okta sai töövõtjalt lõpliku kohtuekspertiisi akti (kuidas või kas LAPSUS$ sai raporti edastamise kohta eelhoiatuse, pole teada):
Järgmisena tuli rünnakule graafikakiibi müüja Nvidia, kes kannatas ilmselt samuti andmevarguse all, millele järgnes üks veidramad lunavara-erinevusega väljapressimisnõuded salvestatud – avage oma graafikadraiveri kood või muul viisil:
Nagu me ütlesime Naked Security taskuhäälingusaates (S3 Ep73):
Tavaliselt on krüptovaluuta ja lunavara vaheline seos kelm: "Minge ostke krüptovaluutat ja saatke see meile ning me dekrüpteerime kõik teie failid ja/või kustutame teie andmed." […]
Kuid antud juhul öeldi seos krüptovaluutaga: "Me unustame kõik tohutu andmehulga, mille me varastasime, kui avate oma graafikakaardid, et need saaksid täisvõimsusel krüptoomida."
Sest see ulatub tagasi muudatuseni, mille Nvidia tegi eelmisel aastal [2021] ja mis oli mängijate seas väga populaarne [heidutades krüptokaevandajaid ostmast kõiki turul olevaid Nvidia GPU-sid mittegraafika eesmärgil].
Teist tüüpi küberkurjategija?
Vaatamata sellele, et LAPSUS$-le omistatud veebitegevused on olnud tõsiselt ja häbenematult kuritegelikud, tundus grupi ärakasutamisjärgne käitumine sageli üsna vana kooli moodi.
Erinevalt praegustest miljonite dollaritesse maksvatest lunavararündajatest, kelle peamiseks motiiviks on raha, raha ja rohkem raha, oli LAPSUS$ ilmselt rohkem seotud 1980. aastate lõpu ja 1990. aastate viirusekirjutamise stseeniga, kus rünnakuid korraldati tavaliselt lihtsalt õiguste eest uhkustamise ja lulz”.
(Fraas lulzi jaoks tõlgib umbes nii selleks, et kutsuda esile solvavalt lõbusat naeru, akronüümi põhjal LOL, lühend sõnadest "valjult naermine".)
Niisiis, kui Londoni linna politsei teatas vaid kaks päeva pärast Okta rünnaku mitte-nii naljakate ekraanipiltide ilmumist, et arreteeriti mis kõlas nagu kirev hunnik noori Ühendkuningriigis, sest nad kuulusid väidetavalt häkkimisrühma…
…maailma IT-meedia lõi kiiresti ühenduse LAPSUS$-ga:
Meile teadaolevalt ei ole Ühendkuningriigi õiguskaitseorganid kunagi kasutanud sõna LAPSUS$ seoses vahistamises kahtlustatavatega, märkides 2022. aasta märtsis lihtsalt, et "Meie uurimised jätkuvad."
Sellegipoolest järeldati ilmne seos LAPSUS$-ga tõsiasjast, et väidetavalt oli üks kinni langenud noortest 17-aastane ja pärit Inglismaalt Oxfordshire'ist.
Põnev on see, et selles vanuses häkker, kes väidetavalt elas Oxfordi lähedal asuvas linnas, mille järgi ümbritsev krahvkond on saanud oma nime, oli rahulolematu küberkuritegevuse rivaal veidi varem välja kukkunud, nn. doksimine.
Doxxing on koht, kus küberkurjategija avalikustab varastatud isikudokumendid ja üksikasjad tahtlikult, sageli selleks, et seada üksikisiku ohtu õiguskaitseorganite vahistamise või halvasti informeeritud või pahatahtlike vastaste kättemaksu ohus.
Doxxer lekitas enda väitel oma rivaali koduaadressi koos isiklike andmete ja fotodega temast ja lähedastest pereliikmetest ning hunniku väiteid, et ta oli LAPSUS$ meeskonnas mingi nööpnõel.
LAPUS$ taas tähelepanu keskpunktis
Nagu võite arvata, hiljutine Uberi häkkimislood taaselustas nime LAPSUS$, arvestades, et sel juhul väideti, et ründaja on 18-aastane ja ta oli ilmselt huvitatud ainult endast välja näitamisest:
Nagu Chester Wisniewski hiljutises ajakirjas selgitas taskuhäälingusaate minisood:
[Mina] antud juhul […] tundub, et see on "luulzi jaoks". […]Inimene, kes seda tegi, kogus võrgu kaudu hüppamisel peamiselt trofeesid – ekraanipiltidena kõigist Uberis kasutatavatest erinevatest tööriistadest, utiliitidest ja programmidest – ja postitas need avalikult. tänavakrediidi eest.
Vahetult pärast Uberi häkkimist lekitati pärast Rockstari mängudesse sissetungimist peaaegu tunni jagu videolõike eelseisvast mängust GTA6, mis olid ilmselt silumiseks ja testimiseks tehtud ekraanipildid.
Taas osales rünnakus sama noor häkker, kellel oli sama oletatav seos LAPSUS$-ga.
Seekord teatab soovitama et häkker pidas silmas enamat kui vaid oma õigustega kiidelmist, väites, et see nii oli "Ootan tehingut läbi rääkida."
Niisiis, kui Londoni linna politsei tweeted selle nädala alguses, mis neil oli "vahistati häkkimises kahtlustatuna Oxfordshire'is 17-aastane"...
Neljapäeva, 22. septembri 2022 õhtul vahistas Londoni linna politsei Oxfordshire'is häkkimises kahtlustatava 17-aastase noormehe osana uurimisest, mida toetas @NCA_UKRiiklik küberkuritegevuse üksus (NCCU).
Ta jääb politsei vahi alla. pic.twitter.com/Zfa3OlDR6J
— Londoni linna politsei (@CityPolice) September 23, 2022
…võite ette kujutada, millistele järeldustele Twittersfäär kiiresti jõudis.
See peab olema sama inimene!
Lõppude lõpuks, kui suur on võimalus, et me räägime siin kahest erinevast ja omavahel mitteseotud kahtlusalusest?
Ainus asi, mida me ei tea, on see, kus LAPSUS$ moniker sellesse puutub, kui see on üldse seotud.
Oi, millist sassis võrku me punume/Kui kõigepealt harjutame petmist.
ÕPIGE, KUIDAS VÄLTIDA LAPSUS$-STIILI RÜNDE
Klõpsake ja lohistage allolevatel helilainetel mis tahes punkti hüppamiseks. Sa saad ka kuula otse Soundcloudis.