Uber و Rockstar – آیا یک پایه اتصال LAPSUS$ به تازگی (دوباره) شکسته شده است؟

نام کنجکاو LAPSUS$ ساخته سرفصل های بزرگ در مارس 2022 به عنوان نام مستعار یک باند هکر، یا به عبارتی نامشخص، به عنوان برچسب مجموعه بدنام و فعال مجرمان سایبری:

این نام برای یک خدمه جرایم سایبری که معمولاً از سوبریکت‌هایی استفاده می‌کنند که خشمگین و مخرب به نظر می‌رسند، غیرمعمول بود، مانند DEADBOLT, شیطان, Darksideو رستاخیز.

با این حال، همانطور که در ماه مارس ذکر کردیم، لیز خوردن یک کلمه لاتین مدرن به اندازه هر کلمه دیگری برای "نقض داده" است، و علامت دلار دنباله دار هم ارزش مالی و هم برنامه نویسی را نشان می دهد، که روش سنتی نشان دادن این است که متغیر BASIC یک رشته متن است، نه یک عدد.

ظاهراً باند، تیم، خدمه، صاحب، جمعی، غوغا کردن، هکرها را هر چه می خواهید بخوانید، ابهام مشابهی را در جنایت سایبری خود ارائه کردند.

گاهی اوقات، به نظر می رسید که آنها نشان می دهند که در مورد اخاذی یا برداشتن ارزهای دیجیتال از قربانیان خود جدی هستند، اما در مواقع دیگر به نظر می رسید که آنها صرفاً خودنمایی می کنند.

مایکروسافت در آن زمان اعتراف کرد که چنین بوده است نفوذ کرد توسط LAPSUS$، اگرچه غول نرم افزاری این گروه را DEV-5037 می نامد، و مجرمان ظاهراً گیگابایت کد منبع را دزدیده اند.

Okta، یک ارائه‌دهنده خدمات 2FA، یکی دیگر از قربانیان پرمخاطب بود، جایی که هکرها دسترسی RDP به رایانه یک تکنسین پشتیبانی را به دست آوردند و بنابراین می‌توانستند به طیف گسترده‌ای از سیستم‌های داخلی Okta دسترسی داشته باشند، گویی مستقیماً به شبکه خود Okta وارد شده‌اند. .

این فناوری پشتیبانی برای Okta کار نمی کرد، بلکه برای شرکتی که با Okta قرارداد داشت کار می کرد، به طوری که مهاجمان اساساً می توانستند بدون نفوذ به خود Okta به شبکه Okta نفوذ کنند.

جالب اینجاست که حتی با وجود اینکه نقض Okta در ژانویه 2022 اتفاق افتاد، نه Okta و نه پیمانکار آن به مدت حدود دو ماه به طور عمومی به این نقض اعتراف نکردند. معاینه پزشکی صورت گرفت…

... تا اینکه ظاهراً LAPSUS$ تصمیم گرفت از هرگونه اعلام رسمی توسط ریختن اسکرین شات ها برای "اثبات" نقض، از قضا درست در همان روزی که Okta گزارش نهایی پزشکی قانونی را از پیمانکار دریافت کرد (چگونه یا اگر LAPSUS$ اخطار قبلی در مورد تحویل گزارش دریافت کرد مشخص نیست):

بعدی در Docket حمله، فروشنده تراشه های گرافیکی Nvidia بود که ظاهراً او نیز دچار سرقت اطلاعات شد و به دنبال آن یکی از عجیب‌ترین باج‌افزار با درخواست‌های اخاذی متفاوت در رکورد - کد درایور گرافیک خود را منبع باز کنید، یا در غیر این صورت:

همانطور که در پادکست امنیت برهنه گفتیم (S3 Ep73):

به طور معمول، ارتباط بین ارز دیجیتال و باج‌افزار به شکل کلاهبرداران است: «بروید و مقداری ارز دیجیتال بخرید و آن را برای ما ارسال کنید، و ما همه فایل‌های شما را رمزگشایی می‌کنیم و/یا داده‌های شما را حذف می‌کنیم». […]

اما در این مورد، ارتباط با ارزهای رمزنگاری شده این بود که آنها گفتند: «اگر کارت‌های گرافیک خود را باز کنید تا بتوانند با قدرت کامل رمزنگاری کنند، حجم عظیمی از داده‌هایی را که به سرقت برده‌ایم فراموش می‌کنیم».

زیرا این به تغییری برمی‌گردد که انویدیا در سال گذشته [2021] ایجاد کرد، که در بین گیمرها بسیار محبوب بود [با منصرف کردن کریپتوماینرها از خرید تمام پردازنده‌های گرافیکی Nvidia در بازار برای اهداف غیر گرافیکی].

یک نوع مجرم سایبری متفاوت؟

با وجود تمام آن‌چه که فعالیت‌های آنلاین منتسب به LAPSUS$ به‌طور جدی و بی‌شرمانه جنایتکارانه بوده است، رفتار گروه پس از استثمار اغلب نسبتاً قدیمی به نظر می‌رسید.

برخلاف مهاجمان باج‌افزار چند میلیون دلاری امروزی که انگیزه‌های اصلی آنها پول، پول و پول بیشتر است، LAPSUS$ ظاهراً با صحنه ویروس‌نویسی اواخر دهه 1980 و 1990 هماهنگی بیشتری داشت، جایی که حملات معمولاً صرفاً برای لاف زدن و «برای حقوق بشر» انجام می‌شدند. لولز».

(عبارت برای لولز تقریباً به این صورت ترجمه می شود برای برانگیختن خنده های توهین آمیز شادی آور، بر اساس نام اختصاری LOL، مخفف "خنده بلند".)

بنابراین، هنگامی که پلیس شهر لندن، تنها دو روز پس از نمایش تصاویر نه چندان شادی آور از حمله Okta، اعلام کرد که بازداشت شد چیزی که به نظر می رسد گروهی از جوانان در بریتانیا به اتهام عضویت در یک گروه هکری...

رسانه های فناوری اطلاعات جهان به سرعت با LAPSUS$ ارتباط برقرار کردند:

تا آنجا که ما اطلاع داریم، مجری قانون بریتانیا هرگز از کلمه LAPSUS$ در رابطه با مظنونان آن دستگیری استفاده نکرده است، و در مارس 2022 به سادگی اشاره کرد که "تحقیقات ما همچنان ادامه دارد."

با این وجود، ارتباط آشکاری با LAPSUS$ از این واقعیت استنباط شد که یکی از نوجوانان کشته شده 17 ساله بود و اهل آکسفوردشایر انگلستان بود.

جالب اینجاست که یک هکر در آن سن که ظاهراً در شهری در خارج از آکسفورد زندگی می‌کرده بود، شهری که نام شهرستان اطراف از آن گرفته شده است، چندی قبل توسط یک رقیب ناراضی از جنایات سایبری بیرون شده بود. doxxing.

Doxxing جایی است که یک مجرم سایبری اسناد و جزئیات شخصی دزدیده شده را عمداً منتشر می کند، اغلب به منظور قرار دادن فردی در خطر دستگیری توسط مجریان قانون، یا در خطر تلافی توسط مخالفان بدآگاه یا بدخواه.

داکسسر آنچه را که ادعا می‌کرد آدرس منزل رقیبش بود، همراه با مشخصات شخصی و عکس‌های او و اعضای نزدیک خانواده‌اش، و همچنین یکسری ادعاها مبنی بر اینکه او نوعی مهره اصلی خدمه LAPSUS$ است، فاش کرد.

LAPUS$ دوباره در کانون توجه قرار گرفت

همانطور که می توانید تصور کنید، اخیر داستان های هک اوبر نام LAPSUS$ را احیا کرد، با توجه به اینکه مهاجم در آن پرونده به طور گسترده ادعا می کرد که 18 ساله است و ظاهراً فقط به خودنمایی علاقه داشت:

همانطور که چستر ویسنیفسکی اخیراً توضیح داد مینی ساد پادکست:

[من] در این مورد، [...] به نظر می رسد "برای لولز". […T] شخصی که این کار را انجام داد، بیشتر در حال جمع‌آوری غنائم بود که از طریق شبکه پرش می‌کردند - به شکل اسکرین شات از همه ابزارها و ابزارهای مختلف و برنامه‌هایی که در اطراف اوبر استفاده می‌شد - و آنها را به صورت عمومی پست می‌کرد. برای باور خیابانی

مدت کوتاهی پس از هک اوبر، تقریباً یک ساعت از آنچه که به نظر می‌رسید کلیپ‌های ویدیویی از بازی آینده GTA6 باشد، تصاویری که ظاهراً برای اهداف اشکال‌زدایی و آزمایش ساخته شده‌اند، به دنبال نفوذ در بازی‌های Rockstar به بیرون درز کرد.

یک بار دیگر، همان هکر جوان، با همان ارتباط احتمالی با LAPSUS$، در این حمله نقش داشته است.

این بار گزارش می دهد نشان می دهد که هکر چیزی بیشتر از لاف زدن در ذهن داشته است و ظاهراً گفته است که آنها هستند "به دنبال مذاکره برای یک معامله."

بنابراین، وقتی پلیس شهر لندن توییت اوایل این هفته که داشتند یک جوان 17 ساله در آکسفوردشایر به ظن هک دستگیر شد....

در عصر روز پنجشنبه 22 سپتامبر 2022، پلیس شهر لندن یک جوان 17 ساله را در آکسفوردشایر به ظن هک کردن، به عنوان بخشی از تحقیقات با حمایت پلیس دستگیر کرد. @NCA_UKواحد ملی جرایم سایبری (NCCU).

او همچنان در بازداشت پلیس است. pic.twitter.com/Zfa3OlDR6J

- پلیس شهر لندن (@CityPolice) سپتامبر 23، 2022

…می توانید تصور کنید که حوزه توییتر به سرعت به چه نتایجی رسیده است.

باید همان شخص باشد!

به هر حال، چه شانسی وجود دارد که در اینجا درباره دو مظنون متفاوت و غیر مرتبط صحبت کنیم؟

تنها چیزی که نمی دانیم این است که نام LAPSUS$ دقیقاً از کجا وارد آن می شود، اگر واقعاً اصلاً در آن نقش داشته باشد.

آه، چه تار و پود درهم می بافیم/اول که برای فریب تمرین می کنیم.

---

بیاموزید که چگونه از حملات به سبک LAPSUS$ اجتناب کنید

---