Le nom curieux LAPSUS$ LES PLANTES gros titres en mars 2022 comme le surnom d'un gang de hackers, ou, en termes clairs, comme l'étiquette d'un collectif notoire et actif de cybercriminels :
Le nom était quelque peu inhabituel pour une équipe de cybercriminalité, qui adopte généralement des soubriquets qui semblent énervés et destructeurs, tels que PÊNE DORMANT, Satan, Darksideet le mal.
Comme nous l'avons mentionné en mars, cependant, lapse est un mot latin moderne aussi bon que n'importe quel autre pour "violation de données", et le signe dollar à la fin signifie à la fois la valeur financière et la programmation, étant la manière traditionnelle d'indiquer que la variable BASIC est une chaîne de texte, pas un nombre.
Le gang, l'équipe, l'équipage, le groupe, le collectif, le troupeau, appelez ça comme vous voulez, des attaquants ont apparemment présenté une sorte d'ambiguïté similaire dans leur cybercriminalité.
Parfois, ils semblaient montrer qu'ils étaient sérieux au sujet d'extorquer de l'argent ou d'arracher la crypto-monnaie à leurs victimes, mais à d'autres moments, ils semblaient simplement se montrer.
Microsoft a admis à l'époque qu'il avait été infiltré par LAPSUS$, bien que le géant du logiciel ait appelé le groupe DEV-5037, les criminels ayant apparemment volé des gigaoctets de code source.
Okta, un fournisseur de services 2FA, a été une autre victime de premier plan, où les pirates ont acquis un accès RDP à l'ordinateur d'un technicien de support, et ont donc pu accéder à un large éventail de systèmes internes d'Okta comme s'ils étaient connectés directement au propre réseau d'Okta. .
Ce technicien de support n'a pas fonctionné pour Okta, mais pour une société sous contrat avec Okta, de sorte que les attaquants ont pu essentiellement pénétrer le réseau d'Okta sans violer Okta lui-même.
Curieusement, même si la violation d'Okta s'est produite en janvier 2022, ni Okta ni son sous-traitant n'ont admis publiquement la violation pendant environ deux mois, alors qu'un examen médico-légal a eu lieu…
… jusqu'à ce que LAPSUS$ décide apparemment d'anticiper toute annonce officielle en vidage des captures d'écran pour "prouver" la violation, ironiquement le jour même où Okta a reçu le rapport médico-légal final de l'entrepreneur (comment, ou si, LAPSUS$ a été averti à l'avance de la livraison du rapport est inconnu) :
Le suivant sur le registre de l'attaque était le fournisseur de puces graphiques Nvidia, qui a apparemment également subi un vol de données, suivi de l'un des demandes d'extorsion de ransomware avec une différence les plus étranges au dossier - ouvrez le code de votre pilote graphique, ou bien :
Comme nous l'avons dit dans le podcast Naked Security (S3 Ep73):
Normalement, le lien entre la crypto-monnaie et le ransomware est la figure des escrocs : "Allez acheter de la crypto-monnaie et envoyez-la-nous, et nous décrypterons tous vos fichiers et/ou supprimerons vos données." […]
Mais dans ce cas, le lien avec la crypto-monnaie était qu'ils ont dit : "Nous oublierons tout l'énorme quantité de données que nous avons volées si vous ouvrez vos cartes graphiques afin qu'elles puissent crypter à pleine puissance."
Parce que cela remonte à un changement que Nvidia a fait l'année dernière [2021], qui était très populaire auprès des joueurs [en décourageant les cryptomineurs d'acheter tous les GPU Nvidia sur le marché à des fins non graphiques].
Un autre type de cybercriminel ?
Malgré tout ce que les activités en ligne attribuées à LAPSUS$ ont été sérieusement et sans vergogne criminelles, le comportement post-exploitation du groupe a souvent semblé plutôt démodé.
Contrairement aux attaquants de rançongiciels de plusieurs millions de dollars d'aujourd'hui, dont les principales motivations sont l'argent, l'argent et plus d'argent, LAPSUS$ s'alignait apparemment plus étroitement sur la scène d'écriture de virus de la fin des années 1980 et des années 1990, où les attaques étaient généralement menées simplement pour se vanter et "pour le lulz ».
(La phrase pour le lulz se traduit à peu près par afin de provoquer des rires insultants et joyeux, basé sur l'acronyme LOL, abréviation de "rire aux éclats".)
Ainsi, lorsque la police de la ville de Londres a annoncé, deux jours seulement après l'apparition des captures d'écran pas si joyeuses de l'attaque d'Okta, qu'elle avait arrêté ce qui ressemblait à un groupe hétéroclite de jeunes au Royaume-Uni pour être prétendument membres d'un groupe de piratage…
…les médias informatiques du monde entier ont rapidement établi une connexion avec LAPSUS$ :
À notre connaissance, les forces de l'ordre britanniques n'ont jamais utilisé le mot LAPSUS $ en relation avec les suspects de cette arrestation, notant simplement en mars 2022 que "Nos enquêtes restent en cours."
Néanmoins, un lien apparent avec LAPSUS$ a été déduit du fait que l'un des jeunes arrêtés aurait 17 ans et serait originaire d'Oxfordshire en Angleterre.
De manière fascinante, un hacker de cet âge qui aurait vécu dans une ville juste à l'extérieur d'Oxford, la ville d'où le comté environnant tire son nom, avait été dénoncé par un rival mécontent de la cybercriminalité peu de temps auparavant, dans ce qu'on appelle un doxxing.
Le doxxing est l'endroit où un cybercriminel divulgue exprès des documents et des détails personnels volés, souvent dans le but de mettre un individu en danger d'arrestation par les forces de l'ordre, ou en danger de représailles par des opposants mal informés ou malveillants.
Le doxxer a divulgué ce qu'il prétendait être l'adresse personnelle de son rival, ainsi que des détails personnels et des photos de lui et des membres de sa famille proche, ainsi qu'un tas d'allégations selon lesquelles il était une sorte de cheville ouvrière dans l'équipage LAPSUS $.
LAPUS$ de retour sous les projecteurs
Comme vous pouvez l'imaginer, la récente Histoires de piratage d'Uber a relancé le nom LAPSUS$, étant donné que l'agresseur dans cette affaire était largement considéré comme âgé de 18 ans et n'était apparemment intéressé que par se faire remarquer :
Comme Chester Wisniewski l'a expliqué dans un récent mini-sode de podcast:
[D]ans ce cas, […] cela semble être « pour le lulz ». […L]a personne qui l'a fait collectait principalement des trophées au fur et à mesure qu'ils rebondissaient sur le réseau - sous la forme de captures d'écran de tous [les] différents outils, utilitaires et programmes qui étaient utilisés autour d'Uber - et les publiait publiquement, je suppose pour la crédibilité de la rue.
Peu de temps après le piratage d'Uber, près d'une heure de ce qui semblait être des clips vidéo du prochain jeu GTA6, apparemment des captures d'écran réalisées à des fins de débogage et de test, ont été divulguées suite à une intrusion dans les jeux Rockstar.
Une fois de plus, le même jeune hacker, avec le même lien présumé avec LAPSUS$, a été impliqué dans l'attaque.
Cette fois, les rapports suggérer que le pirate avait plus à l'esprit que simplement se vanter, disant prétendument qu'ils étaient "chercher à négocier un accord."
Ainsi, lorsque la police de la ville de Londres tweeté plus tôt cette semaine qu'ils avaient "a arrêté un jeune de 17 ans dans l'Oxfordshire soupçonné de piratage"...
Dans la soirée du jeudi 22 septembre 2022, la police de la ville de Londres a arrêté un jeune de 17 ans dans l'Oxfordshire, soupçonné de piratage, dans le cadre d'une enquête soutenue par le @NCA_Royaume-Unide l'Unité nationale de la cybercriminalité (NCCU).
Il reste en garde à vue. pic.twitter.com/Zfa3OlDR6J
– Police de la ville de Londres (@CityPolice) 23 septembre 2022
… vous pouvez imaginer à quelles conclusions la Twittersphere est rapidement parvenue.
Ce doit être la même personne !
Après tout, quelle est la chance que nous parlions ici de deux suspects différents et sans lien ?
La seule chose que nous ne savons pas, c'est où le surnom de LAPSUS $ entre en jeu, s'il est effectivement impliqué.
O, quelle toile emmêlée nous tissons / Quand nous nous entraînons pour la première fois à tromper.
APPRENEZ À ÉVITER LES ATTAQUES DE STYLE LAPSUS$
Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.