A kíváncsi név LAPSUS$ készült hatalmas szalagcímek 2022 márciusában egy hacker banda beceneveként, vagy finoman szólva a kiberbűnözők hírhedt és aktív kollektívájának címkéjeként:
A név kissé szokatlan volt egy számítógépes bûnözõk számára, akik általában éles és pusztító hangzású szubriketteket alkalmaznak, mint pl. DEADBOLT, Sátán, Darksideés Revil.
Ahogy azonban márciusban említettük, múlás ugyanolyan jó modern latin szó, mint bármelyik az „adatszivárgás”-ra, és a záró dollárjel egyaránt jelöli a pénzügyi értéket és a programozást, mivel hagyományos módon jelöljük, hogy a BASIC változó egy szöveges karakterlánc, nem pedig egy szám.
A támadók bandája, csapata, legénysége, posse, kollektívája, gaggle-je, nevezze, ahogy akarja, látszólag hasonló kétértelmûséget mutatott ki a kiberbûnözésben.
Néha úgy tűnt, hogy azt mutatták, hogy komolyan gondolják, hogy pénzt zsarolnak ki vagy kriptovalutát akarnak eltépni áldozataiktól, de máskor úgy tűnt, egyszerűen mutogatják magukat.
A Microsoft akkor elismerte, hogy így volt beszivárgott LAPSUS$, bár a szoftveróriás DEV-5037 néven emlegette a csoportot, a bűnözők nyilvánvalóan gigabájt forráskódot loptak el.
Az Okta, a 2FA szolgáltató egy másik nagy horderejű áldozat volt, ahol a hackerek RDP-hozzáférést szereztek egy support techie számítógépéhez, és így az Okta belső rendszereinek széles skálájához fértek hozzá, mintha közvetlenül az Okta saját hálózatába lennének bejelentkezve. .
Ez a támogatási technika nem az Oktának működött, hanem az Okta által szerződtetett cégnek, így a támadók lényegében át tudták törni az Okta hálózatát anélkül, hogy magát az Oktát feltörték volna.
Érdekes módon annak ellenére, hogy az Okta jogsértése 2022 januárjában történt, sem az Okta, sem a vállalkozója körülbelül két hónapig nem ismerte el nyilvánosan a jogsértést, míg egy törvényszéki vizsgálat került sor…
…amíg LAPSUS$ nyilvánvalóan úgy döntött, hogy megelőz minden hivatalos bejelentést képernyőképek dömpingje a jogsértés „bizonyítására”, ironikus módon ugyanazon a napon, amikor az Okta megkapta a végső igazságügyi szakértői jelentést a vállalkozótól (nem ismert, hogy LAPSUS$ hogyan kapott-e előzetes figyelmeztetést a jelentés kézbesítéséről, nem ismert):
A támadásban a következő helyen állt a grafikus chip-gyártó, az Nvidia, aki láthatóan szintén adatrablást szenvedett el, majd az egyik legfurcsább zsarolóprogramok különböző zsarolási követelései felvételen – nyílt forráskódú grafikus illesztőprogram kódja, vagy más módon:
Ahogy a Naked Security podcastban is mondtuk (S3 Ep73):
Általában a kriptovaluta és a ransomware közötti kapcsolat a csalók figurája: „Menjen, vásároljon kriptovalutát, és küldje el nekünk, mi pedig visszafejtjük az összes fájlját és/vagy töröljük az adatait.” […]
De ebben az esetben a kriptovalutákkal való kapcsolatról azt mondták: „Mindent elfelejtünk arról a hatalmas adatmennyiségről, amit elloptunk, ha kinyitja a grafikus kártyáit, hogy teljes teljesítménnyel tudjanak titkosítani.”
Mert ez az Nvidia által tavaly [2021-ben] végrehajtott változtatásra nyúlik vissza, amely nagyon népszerű volt a játékosok körében [azáltal, hogy eltántorította a kriptobányászokat attól, hogy a piacon lévő összes Nvidia GPU-t felvásárolják nem grafikus célokra].
Másfajta kiberbûnözõ?
Annak ellenére, hogy a LAPSUS$-nak tulajdonított online tevékenységek súlyosan és szégyentelenül bűncselekmények voltak, a csoport kizsákmányolás utáni viselkedése gyakran meglehetősen régimódinak tűnt.
Ellentétben a mai, több millió dolláros zsarolóvírus-támadókkal, akiknek elsődleges motivációja a pénz, a pénz és a több pénz, a LAPSUS$ láthatóan jobban illeszkedett az 1980-as és 1990-es évek végi vírusírtó szcénához, ahol a támadásokat általában pusztán kérkedésből és „azért” hajtották végre. a lulz”.
(A kifejezés a lulzért nagyjából így fordítja hogy sértően vidám nevetést váltson ki, a mozaikszó alapján LOL, a „hangosan nevető” rövidítése.)
Tehát amikor a londoni City rendőrség bejelentette, mindössze két nappal azután, hogy megjelentek az Okta-támadásról készült, egyáltalán nem vidám képernyőképek, hogy letartóztatott ami úgy hangzott, mint egy tarka fiatalok csoportja az Egyesült Királyságban, amiért állítólag egy hackercsoport tagjai…
…a világ informatikai médiája gyorsan kapcsolatba lépett a LAPSUS$-szal:
Tudomásunk szerint az Egyesült Királyság bűnüldöző szervei soha nem használták a LAPSUS$ szót a letartóztatásban szereplő gyanúsítottakkal kapcsolatban, és 2022 márciusában egyszerűen megjegyezték, hogy "Vizsgálataink továbbra is folyamatban vannak."
Mindazonáltal a LAPSUS$-szal való látszólagos kapcsolatra következtettek abból a tényből, hogy az egyik lebukott fiatal állítólag 17 éves volt, és az angliai Oxfordshire-ből származott.
Lenyűgöző módon egy ilyen korú hackert, aki állítólag egy Oxford melletti városban élt, a város, ahonnan a környező megye nevét kapta, nem sokkal korábban egy elégedetlen kiberbűnözési rivális ütött ki, az úgynevezett Doxing.
A doxxing során egy számítógépes bûnözõ szándékosan ad ki ellopott személyes dokumentumokat és adatokat, gyakran azért, hogy egy egyént a bûnüldözõ szervek letartóztassanak, vagy a rosszul tájékozott vagy rosszindulatú ellenfelek megtorlása veszélyébe kerüljön.
A doxxer kiszivárogtatta riválisa lakcímét, személyes adataival és róla és közeli családtagjairól készült fényképekkel, valamint egy csomó olyan állítást, miszerint ő volt a LAPSUS$ legénységének egyfajta kapocs.
LAPUS$ vissza a reflektorfénybe
Ahogy el tudod képzelni, a legutóbbi Uber hackertörténetek felelevenítette a LAPSUS$ nevet, tekintettel arra, hogy a támadóról abban az esetben széles körben azt állították, hogy 18 éves, és láthatóan csak a bemutatás érdekelte:
Ahogy Chester Wisniewski egy nemrégiben kifejtette podcast minizód:
[Én] ebben az esetben […] úgy tűnik, hogy „a lulzért”. […A]aki csinálta, többnyire trófeákat gyűjtött, miközben átugrottak a hálózaton – képernyőképek formájában az Uber környékén használt különféle eszközökről, segédprogramokról és programokról –, és azt hiszem, nyilvánosan közzétette őket. az utcai hitvallásért.
Nem sokkal az Uber feltörése után a Rockstar játékokba való behatolást követően csaknem egyórás videóklipek szivárogtak ki a hamarosan megjelenő GTA6 játékból, látszólag hibakeresés és tesztelés céljából készült képernyőfelvételek.
Ismét ugyanaz a fiatal hacker vett részt a támadásban, ugyanazzal a feltételezett kapcsolattal a LAPSUS$-szal.
Ezúttal jelentések javasol hogy a hacker nem pusztán a kérkedésre gondolt, és állítólag azt mondta, hogy azok "Ügylet tárgyalására törekszik."
Szóval, amikor a City of London Police Twitteren a hét elején "Letartóztattak egy 17 éves fiatalt Oxfordshire-ben hackelés gyanújával"...
22. szeptember 2022-én, csütörtökön este a londoni város rendőrsége egy 17 éves fiatalt tartóztatott le Oxfordshire-ben, hackelés gyanújával, a rendőrség által támogatott nyomozás részeként. @NCA_UK’s National Cyber Crime Unit (NCCU).
Továbbra is a rendőrség őrizetében van. pic.twitter.com/Zfa3OlDR6J
— City of London Police (@CityPolice) 23. szeptember 2022.
…el tudod képzelni, milyen következtetésekre jutott gyorsan a Twitter-szféra.
Biztosan ugyanarról a személyről van szó!
Végül is mennyi az esélye annak, hogy itt két különböző és egymással nem összefüggő gyanúsítottról beszélünk?
Az egyetlen dolog, amit nem tudunk, az az, hogy pontosan hol szerepel a LAPSUS$ beceneve, ha egyáltalán benne van.
Ó, milyen szövevényes hálót szövünk / Amikor először gyakoroljuk a megtévesztést.
TUDJA HOGYAN ELKERÜLJÜK A LAPSUS$-STYLE TÁMADÁSOKAT
Kattintson és húzza az alábbi hanghullámokat, hogy bármelyik pontra ugorjon. Te is hallgatni közvetlenül a Soundcloudon.