Utelias nimi LAPSUS$ tehty valtavia otsikoita maaliskuussa 2022 hakkerointijengin lempinimenä, tai siististi sanottuna pahamaineisen ja aktiivisen kyberrikollisten kollektiivin leimana:
Nimi oli jokseenkin epätavallinen tietoverkkorikollisryhmälle, joka yleensä omaksuu ärtyisiltä ja tuhoisilta kuulostavia soubriketteja, kuten esim. DEADBOLT, saatana, Darksideja Revil.
Kuten totesimme jo maaliskuussa, raueta on yhtä hyvä moderni latinalainen sana kuin mikä tahansa sana "tietomurrolle", ja perässä oleva dollarimerkki tarkoittaa sekä taloudellista arvoa että ohjelmointia, sillä se on perinteinen tapa ilmaista, että BASIC-muuttuja on tekstimerkkijono, ei numero.
Hyökkääjien jengi, joukkue, miehistö, posse, kollektiivi, gaggle, kutsu sitä miksi haluat, ilmeisesti esitti samanlaista epäselvyyttä kyberrikollisuudessaan.
Joskus he näyttivät osoittavan, että he aikoivat kiristää rahaa tai riistää kryptovaluuttoja uhreiltaan, mutta toisinaan he näyttivät vain näyttäytyvän.
Microsoft myönsi tuolloin, että se oli ollut suodatettuja LAPSUS$, vaikka ohjelmistojätti kutsui ryhmää nimellä DEV-5037, ja rikolliset ilmeisesti varastivat gigatavuja lähdekoodia.
2FA-palveluntarjoaja Okta oli toinen korkean profiilin uhri, jossa hakkerit saivat RDP-pääsyn tukiteknikon tietokoneeseen ja pääsivät siten laajaan valikoimaan Oktan sisäisiä järjestelmiä ikään kuin he olisivat kirjautuneena suoraan Oktan omaan verkkoon. .
Tuo tukitekniikka ei toiminut Oktalle, vaan Oktan sopimusyritykselle, joten hyökkääjät pystyivät olennaisesti murtautumaan Oktan verkkoon rikkomatta Oktaa itseään.
Mielenkiintoista on, että vaikka Okta rikkoi tammikuussa 2022, Okta tai sen urakoitsija eivät myöntäneet rikkomusta julkisesti noin kahteen kuukauteen. oikeuslääketieteellinen tutkimus tapahtui…
…kunnes LAPSUS$ ilmeisesti päätti ohittaa kaikki viralliset ilmoitukset mennessä kuvakaappausten poistaminen "todistaa" rikkomuksen, ironisesti samana päivänä, kun Okta sai lopullisen oikeuslääketieteellisen raportin urakoitsijalta (miten tai saiko LAPSUS$ ennakkovaroituksen raportin toimittamisesta, ei tiedetä):
Seuraavana hyökkäyspäässä oli grafiikkasirujen myyjä Nvidia, joka ilmeisesti myös kärsi dataryöstöstä, jota seurasi yksi oudoimmat kiristysohjelmat ja kiristysvaatimukset tallessa – avaa näytönohjainkoodisi avoimella lähdekoodilla tai muuten:
Kuten sanoimme Naked Security podcastissa (S3 Ep73):
Normaalisti kryptovaluutan ja kiristysohjelmien välinen yhteys on huijari: "Mene ostamaan kryptovaluutta ja lähetä se meille, niin me puramme kaikkien tiedostosi salauksen ja/tai poistamme tietosi." […]
Mutta tässä tapauksessa yhteys kryptovaluuttaan oli, että he sanoivat: "Unohdamme kaiken varastamamme valtavan datamäärän, jos avaat näytönohjaimesi, jotta ne voivat salata täydellä teholla."
Koska se juontaa juurensa muutokseen, jonka Nvidia teki viime vuonna [2021] ja joka oli erittäin suosittu pelaajien keskuudessa [estämällä kryptomineraajia ostamasta kaikkia markkinoilla olevia Nvidian GPU:ita muihin kuin grafiikkatarkoituksiin].
Erilainen kyberrikollinen?
Kaikesta siitä huolimatta, että LAPSUS$:lle syytetty verkkotoiminta on ollut vakavasti ja häpeämättömästi rikollista, ryhmän hyväksikäytön jälkeinen käyttäytyminen vaikutti usein melko vanhanaikaiselta.
Toisin kuin nykyiset miljoonien dollarien kiristysohjelmahyökkääjät, joiden ensisijaiset motiivit ovat rahaa, rahaa ja enemmän rahaa, LAPSUS$ oli ilmeisesti läheisempi 1980-luvun lopun ja 1990-luvun viruksenkirjoitusskeneen kanssa, jossa hyökkäyksiä tehtiin yleensä vain kerskumisen vuoksi. lulz”.
(Laus lulzille käännettynä noin herättääkseen loukkaavan iloista naurua, lyhenteen perusteella LOL, lyhenne sanoista "nauraa ääneen".)
Joten kun Lontoon Cityn poliisi ilmoitti, vain kaksi päivää sen jälkeen, kun Okta-hyökkäyksen ei ollenkaan iloisia kuvakaappauksia ilmestyi, että se oli pidätetty mikä kuulosti kirjavalta nuortenjoukolta Isossa-Britanniassa, koska heidän väitettiin kuuluneen hakkerointiryhmään…
…maailman IT-media sai nopeasti yhteyden LAPSUS$:iin:
Sikäli kuin tiedämme, Yhdistyneen kuningaskunnan lainvalvontaviranomaiset eivät ole koskaan käyttäneet sanaa LAPSUS$ kyseisessä pidätyksessä epäiltyjen yhteydessä ja huomauttivat jo maaliskuussa 2022 yksinkertaisesti, että "Tutkimuksemme jatkuvat."
Silti ilmeinen yhteys LAPSUS$iin pääteltiin siitä tosiasiasta, että yhden murretuista nuorista sanottiin olevan 17-vuotias ja kotoisin Oxfordshiresta Englannista.
Kiehtovaa on, että tuon ikäinen hakkeri, jonka väitettiin asuneen kaupungissa aivan Oxfordin ulkopuolella, kaupunki, josta ympäröivä kreivikunta on saanut nimensä, oli joutunut tyytymättömän kyberrikollisuuden kilpailijan syrjään vähän ennen, ns. Doxing.
Doxxing on paikka, jossa verkkorikollinen julkaisee varastettuja henkilökohtaisia asiakirjoja ja tietoja tarkoituksella, usein asettaakseen henkilön lainvalvontaviranomaisen pidätyksen vaaraan tai huonosti perillä olevien tai pahantahtoisten vastustajien kostoihin.
Doxxer vuotanut väitti olevansa kilpailijansa kotiosoite sekä henkilötiedot ja valokuvat hänestä ja läheisistä perheenjäsenistä sekä joukon väitteitä, että hän oli jonkinlainen kynä LAPSUS$:n miehistössä.
LAPUS$ takaisin valokeilassa
Kuten voit kuvitella, viimeaikainen Uber-hakkerointitarinat herätti henkiin nimen LAPSUS$, koska hyökkääjän väitettiin tuolloin olevan 18-vuotias ja hän oli ilmeisesti kiinnostunut vain esittelemään:
Kuten Chester Wisniewski selitti hiljattain podcast-minisodi:
[Minä] tässä tapauksessa […] se näyttää olevan "lulz". […]Henkilö, joka teki sen, keräsi enimmäkseen palkintoja, kun he pomppasivat verkon läpi – kuvakaappausten muodossa kaikista Uberin ympärillä käytetyistä erilaisista työkaluista, apuohjelmista ja ohjelmista – ja luulisin, että julkaisi ne julkisesti. katutunnustuksesta.
Pian Uber-hakkeroinnin jälkeen lähes tunnin verran videoleikkeitä, jotka näyttivät olevan tulevasta pelistä GTA6, ilmeisesti virheenkorjausta ja testausta varten tehtyjä näyttökaappauksia, vuoti Rockstar-peleihin tunkeutumisen seurauksena.
Jälleen kerran sama nuori hakkeri, jolla oli sama oletettu yhteys LAPSUS$:iin, oli osallisena hyökkäyksessä.
Tällä kertaa raportoi ehdottaa että hakkeri piti mielessään muutakin kuin vain kerskua oikeuksistaan väittäen niiden olevan "halitaan neuvotella sopimusta."
Joten, kun City of London Police Tweeted aiemmin tällä viikolla "pidätti 17-vuotiaan Oxfordshiressä epäiltynä hakkeroinnista"...
Torstai-iltana 22. syyskuuta 2022 Lontoon Cityn poliisi pidätti 17-vuotiaan Oxfordshiressä epäiltynä hakkeroinnista osana poliisin tukemaa tutkintaa. @NCA_UKNational Cyber Crime Unit (NCCU).
Hän on edelleen poliisin huostassa. pic.twitter.com/Zfa3OlDR6J
– Lontoon kaupungin poliisi (@CityPolice) Syyskuu 23, 2022
…voit kuvitella, mihin johtopäätöksiin Twittersphere nopeasti päätyi.
Sen täytyy olla sama henkilö!
Loppujen lopuksi, mikä on todennäköisyys, että puhumme kahdesta erilaisesta ja toisiinsa liittymättömästä epäillystä?
Ainoa asia, jota emme tiedä, on se, mistä LAPSUS$-nimike tulee, jos se todella liittyy asiaan.
Oi, kuinka sotkuista verkkoa kudomme/Kun ensin harjoittelemme pettämistä.
OPPIA MITEN VÄLTÄÄ LAPSUS$-TYYLLISET HYÖKKYT
Napsauta ja vedä alla olevia ääniaaltoja hypätäksesi mihin tahansa kohtaan. Voit myös kuuntele suoraan Soundcloudissa.