by
پل داکلین
نام کنجکاو LAPSUS$
ساخته سرفصل های بزرگ در مارس 2022 به عنوان نام مستعار یک باند هکر، یا به عبارتی نامشخص، به عنوان برچسب مجموعه بدنام و فعال مجرمان سایبری:
این نام برای یک خدمه جرایم سایبری که معمولاً از سوبریکتهایی استفاده میکنند که خشمگین و مخرب به نظر میرسند، غیرمعمول بود، مانند DEADBOLT, شیطان, Darksideو رستاخیز.
با این حال، همانطور که در ماه مارس ذکر کردیم، لیز خوردن یک کلمه لاتین مدرن به اندازه هر کلمه دیگری برای "نقض داده" است، و علامت دلار دنباله دار هم ارزش مالی و هم برنامه نویسی را نشان می دهد، که روش سنتی نشان دادن این است که متغیر BASIC یک رشته متن است، نه یک عدد.
ظاهراً باند، تیم، خدمه، صاحب، جمعی، غوغا کردن، هکرها را هر چه می خواهید بخوانید، ابهام مشابهی را در جنایت سایبری خود ارائه کردند.
گاهی اوقات، به نظر می رسید که آنها نشان می دهند که در مورد اخاذی یا برداشتن ارزهای دیجیتال از قربانیان خود جدی هستند، اما در مواقع دیگر به نظر می رسید که آنها صرفاً خودنمایی می کنند.
مایکروسافت در آن زمان اعتراف کرد که چنین بوده است نفوذ کرد توسط LAPSUS$، اگرچه غول نرم افزاری این گروه را DEV-5037 می نامد، و مجرمان ظاهراً گیگابایت کد منبع را دزدیده اند.
Okta، یک ارائهدهنده خدمات 2FA، یکی دیگر از قربانیان پرمخاطب بود، جایی که هکرها دسترسی RDP به رایانه یک تکنسین پشتیبانی را به دست آوردند و بنابراین میتوانستند به طیف گستردهای از سیستمهای داخلی Okta دسترسی داشته باشند، گویی مستقیماً به شبکه خود Okta وارد شدهاند. .
این فناوری پشتیبانی برای Okta کار نمی کرد، بلکه برای شرکتی که با Okta قرارداد داشت کار می کرد، به طوری که مهاجمان اساساً می توانستند بدون نفوذ به خود Okta به شبکه Okta نفوذ کنند.
جالب اینجاست که حتی با وجود اینکه نقض Okta در ژانویه 2022 اتفاق افتاد، نه Okta و نه پیمانکار آن به مدت حدود دو ماه به طور عمومی به این نقض اعتراف نکردند. معاینه پزشکی صورت گرفت…
... تا اینکه ظاهراً LAPSUS$ تصمیم گرفت از هرگونه اعلام رسمی توسط ریختن اسکرین شات ها برای "اثبات" نقض، از قضا درست در همان روزی که Okta گزارش نهایی پزشکی قانونی را از پیمانکار دریافت کرد (چگونه یا اگر LAPSUS$ اخطار قبلی در مورد تحویل گزارش دریافت کرد مشخص نیست):
بعدی در Docket حمله، فروشنده تراشه های گرافیکی Nvidia بود که ظاهراً او نیز دچار سرقت اطلاعات شد و به دنبال آن یکی از عجیبترین باجافزار با درخواستهای اخاذی متفاوت در رکورد - کد درایور گرافیک خود را منبع باز کنید، یا در غیر این صورت:
همانطور که در پادکست امنیت برهنه گفتیم (S3 Ep73):
به طور معمول، ارتباط بین ارز دیجیتال و باجافزار به شکل کلاهبرداران است: «بروید و مقداری ارز دیجیتال بخرید و آن را برای ما ارسال کنید، و ما همه فایلهای شما را رمزگشایی میکنیم و/یا دادههای شما را حذف میکنیم». […]
اما در این مورد، ارتباط با ارزهای رمزنگاری شده این بود که آنها گفتند: «اگر کارتهای گرافیک خود را باز کنید تا بتوانند با قدرت کامل رمزنگاری کنند، حجم عظیمی از دادههایی را که به سرقت بردهایم فراموش میکنیم».
زیرا این به تغییری برمیگردد که انویدیا در سال گذشته [2021] ایجاد کرد، که در بین گیمرها بسیار محبوب بود [با منصرف کردن کریپتوماینرها از خرید تمام پردازندههای گرافیکی Nvidia در بازار برای اهداف غیر گرافیکی].
یک نوع مجرم سایبری متفاوت؟
با وجود تمام آنچه که فعالیتهای آنلاین منتسب به LAPSUS$ بهطور جدی و بیشرمانه جنایتکارانه بوده است، رفتار گروه پس از استثمار اغلب نسبتاً قدیمی به نظر میرسید.
برخلاف مهاجمان باجافزار چند میلیون دلاری امروزی که انگیزههای اصلی آنها پول، پول و پول بیشتر است، LAPSUS$ ظاهراً با صحنه ویروسنویسی اواخر دهه 1980 و 1990 هماهنگی بیشتری داشت، جایی که حملات معمولاً صرفاً برای لاف زدن و «برای حقوق بشر» انجام میشدند. لولز».
(عبارت برای لولز تقریباً به این صورت ترجمه می شود برای برانگیختن خنده های توهین آمیز شادی آور، بر اساس نام اختصاری LOL
، مخفف "خنده بلند".)
بنابراین، هنگامی که پلیس شهر لندن، تنها دو روز پس از نمایش تصاویر نه چندان شادی آور از حمله Okta، اعلام کرد که بازداشت شد چیزی که به نظر می رسد گروهی از جوانان در بریتانیا به اتهام عضویت در یک گروه هکری...
رسانه های فناوری اطلاعات جهان به سرعت با LAPSUS$ ارتباط برقرار کردند:
تا آنجا که ما اطلاع داریم، مجری قانون بریتانیا هرگز از کلمه LAPSUS$ در رابطه با مظنونان آن دستگیری استفاده نکرده است، و در مارس 2022 به سادگی اشاره کرد که "تحقیقات ما همچنان ادامه دارد."
با این وجود، ارتباط آشکاری با LAPSUS$ از این واقعیت استنباط شد که یکی از نوجوانان کشته شده 17 ساله بود و اهل آکسفوردشایر انگلستان بود.
جالب اینجاست که یک هکر در آن سن که ظاهراً در شهری در خارج از آکسفورد زندگی میکرده بود، شهری که نام شهرستان اطراف از آن گرفته شده است، چندی قبل توسط یک رقیب ناراضی از جنایات سایبری بیرون شده بود. doxxing.
Doxxing جایی است که یک مجرم سایبری اسناد و جزئیات شخصی دزدیده شده را عمداً منتشر می کند، اغلب به منظور قرار دادن فردی در خطر دستگیری توسط مجریان قانون، یا در خطر تلافی توسط مخالفان بدآگاه یا بدخواه.
داکسسر آنچه را که ادعا میکرد آدرس منزل رقیبش بود، همراه با مشخصات شخصی و عکسهای او و اعضای نزدیک خانوادهاش، و همچنین یکسری ادعاها مبنی بر اینکه او نوعی مهره اصلی خدمه LAPSUS$ است، فاش کرد.
LAPUS$ دوباره در کانون توجه قرار گرفت
همانطور که می توانید تصور کنید، اخیر داستان های هک اوبر نام LAPSUS$ را احیا کرد، با توجه به اینکه مهاجم در آن پرونده به طور گسترده ادعا می کرد که 18 ساله است و ظاهراً فقط به خودنمایی علاقه داشت:
همانطور که چستر ویسنیفسکی اخیراً توضیح داد مینی ساد پادکست:
[من] در این مورد، [...] به نظر می رسد "برای لولز". […T] شخصی که این کار را انجام داد، بیشتر در حال جمعآوری غنائم بود که از طریق شبکه پرش میکردند - به شکل اسکرین شات از همه ابزارها و ابزارهای مختلف و برنامههایی که در اطراف اوبر استفاده میشد - و آنها را به صورت عمومی پست میکرد. برای باور خیابانی
مدت کوتاهی پس از هک اوبر، تقریباً یک ساعت از آنچه که به نظر میرسید کلیپهای ویدیویی از بازی آینده GTA6 باشد، تصاویری که ظاهراً برای اهداف اشکالزدایی و آزمایش ساخته شدهاند، به دنبال نفوذ در بازیهای Rockstar به بیرون درز کرد.
یک بار دیگر، همان هکر جوان، با همان ارتباط احتمالی با LAPSUS$، در این حمله نقش داشته است.
این بار گزارش می دهد نشان می دهد که هکر چیزی بیشتر از لاف زدن در ذهن داشته است و ظاهراً گفته است که آنها هستند "به دنبال مذاکره برای یک معامله."
بنابراین، وقتی پلیس شهر لندن توییت اوایل این هفته که داشتند یک جوان 17 ساله در آکسفوردشایر به ظن هک دستگیر شد....
در عصر روز پنجشنبه 22 سپتامبر 2022، پلیس شهر لندن یک جوان 17 ساله را در آکسفوردشایر به ظن هک کردن، به عنوان بخشی از تحقیقات با حمایت پلیس دستگیر کرد. @NCA_UKواحد ملی جرایم سایبری (NCCU).
او همچنان در بازداشت پلیس است. pic.twitter.com/Zfa3OlDR6J
- پلیس شهر لندن (@CityPolice) سپتامبر 23، 2022
…می توانید تصور کنید که حوزه توییتر به سرعت به چه نتایجی رسیده است.
باید همان شخص باشد!
به هر حال، چه شانسی وجود دارد که در اینجا درباره دو مظنون متفاوت و غیر مرتبط صحبت کنیم؟
تنها چیزی که نمی دانیم این است که نام LAPSUS$ دقیقاً از کجا وارد آن می شود، اگر واقعاً اصلاً در آن نقش داشته باشد.
آه، چه تار و پود درهم می بافیم/اول که برای فریب تمرین می کنیم.
بیاموزید که چگونه از حملات به سبک LAPSUS$ اجتناب کنید
برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud