השם המוזר LAPSUS$ עשוי כותרות ענק במרץ 2022 ככינוי של כנופיית פריצה, או, במילים נטולות צבע, כתווית לקולקטיב ידוע לשמצה ופעיל של פושעי סייבר:
השם היה קצת יוצא דופן עבור צוות פשעי סייבר, שבדרך כלל לאמץ סופרים שנשמעים עצבניים והרסניים, כגון DEADBOLT, שטן, Darkside, ו ריוויל.
אולם כפי שהזכרנו במרץ, לשגות היא מילה לטינית מודרנית טובה כמו כל מילה ל"פריצת נתונים", והסימן הנגרר של הדולר מסמל גם ערך פיננסי וגם תכנות, בהיותו הדרך המסורתית לציין שמשתנה BASIC הוא מחרוזת טקסט, לא מספר.
הכנופיה, הצוות, הצוות, הפוסקים, הקולקטיב, הלהקה, תקראו לזה איך שתרצו, של התוקפים כנראה הציגו סוג דומה של אי בהירות בפשעיות הרשת שלהם.
לפעמים נדמה היה שהם הראו שהם רציניים בסחיטת כספים או לקרוע מטבעות קריפטוגרפיים מהקורבנות שלהם, אבל לפעמים, אבל בפעמים אחרות, נראה שהם פשוט משוויצים.
מיקרוסופט הודתה בזמנו שכן מסתננים על ידי LAPSUS$, למרות שענקית התוכנה כינתה את הקבוצה כ-DEV-5037, כשהפושעים כנראה גונבים ג'יגה-בייט של קוד מקור.
Okta, ספק שירותי 2FA, היה עוד קורבן בעל פרופיל גבוה, שבו ההאקרים רכשו גישת RDP למחשב של טכנאי תמיכה, ולכן יכלו לגשת למגוון רחב של מערכות פנימיות של Okta כאילו היו מחוברות ישירות לרשת של Okta. .
טכנולוגיית התמיכה הזו לא עבדה עבור Okta, אלא עבור חברה שהתקשרה עם Okta, כך שהתוקפים היו מסוגלים למעשה לפרוץ את הרשת של Okta מבלי להפר את Okta עצמה.
באופן מסקרן, למרות שההפרה של אוקטה אירעה בינואר 2022, לא אוקטה ולא הקבלן שלה הודו בפומבי בהפרה במשך כחודשיים, בעוד בדיקה פלילית התרחש…
...עד ש-LAPSUS$ כנראה החליטה להקדים כל הודעה רשמית על ידי השלכת צילומי מסך כדי "להוכיח" את ההפרה, למרבה האירוניה בדיוק באותו יום שבו קיבלה Okta את הדו"ח הפורנזי הסופי מהקבלן (לא ידוע איך, או אם, LAPSUS$ קיבל אזהרה מוקדמת על מסירת הדו"ח):
הבאה במסמך ההתקפה הייתה ספקית השבבים הגרפיים Nvidia, שכנראה גם סבלה משוד נתונים, ואחריה אחת דרישות הסחיטה המוזרות ביותר של תוכנות כופר-עם-הבדל ברשומה - קוד פתוח לקוד מנהל ההתקן הגרפי שלך, או אחרת:
כפי שאמרנו בפודקאסט הביטחון העירום (S3 Ep73):
בדרך כלל, הקשר בין מטבעות קריפטוגרפיים ותוכנות כופר הוא דמות הנוכלים, "לכו וקנו מטבעות קריפטוגרפיים ושלחו אותו אלינו, ואנו נפענח את כל הקבצים שלכם ו/או נמחק את הנתונים שלכם." […]
אבל במקרה הזה, הקשר עם מטבעות קריפטוגרפיים היה שאמרו, "נשכח הכל מהכמות העצומה של נתונים שגנבנו אם תפתח את הכרטיסים הגרפיים שלך כדי שיוכלו לבצע קריפטומין במלוא העוצמה."
כי זה חוזר לשינוי ש-Nvidia עשתה בשנה שעברה [2021], שהיה מאוד פופולרי בקרב גיימרים [על ידי הרתעת קריפטומיינים מלקנות את כל ה-Nvidia GPUs בשוק למטרות שאינן גרפיות].
סוג אחר של פושע רשת?
למרות כל מה שהפעילויות המקוונות המיוחסות ל-LAPSUS$ היו פליליות ברצינות וללא בושה, ההתנהגות של הקבוצה לאחר הניצול נראתה לעתים קרובות מיושן למדי.
בניגוד לתוקפי כופר של מיליוני דולרים של ימינו, שהמניעים העיקריים שלהם הם כסף, כסף ועוד כסף, LAPSUS$ ככל הנראה התיישר יותר עם סצנת כתיבת הווירוסים של סוף שנות ה-1980 וה-1990, שבהן התקפות נעשו בדרך כלל רק בגלל זכויות התרברבות ו"בשביל הלולז".
(הביטוי בשביל הלולז מתרגם בערך כמו כדי לעורר צחוק עליז בצורה מעליבה, על סמך ראשי התיבות LOL, קיצור של "צחוק בקול רם".)
אז, כאשר משטרת העיר לונדון הודיעה, יומיים בלבד לאחר שהופיעו צילומי המסך הלא כל כך עליזים של התקפת אוקטה, כי היא נֶעצָר מה שנשמע כמו חבורה עמוסה של צעירים בבריטניה על היותם לכאורה חברים בקבוצת פריצה...
…מדיה ה-IT בעולם יצרה קשר במהירות עם LAPSUS$:
ככל הידוע לנו, רשויות אכיפת החוק בבריטניה מעולם לא השתמשו במילה LAPSUS$ בקשר עם החשודים במעצר זה, וציינו רק במרץ 2022 כי "הבירורים שלנו עדיין נמשכים."
אף על פי כן, קשר ברור ל-LAPSUS$ הוסק מהעובדה שאחד הצעירים שנעצרו נאמר שהוא בן 17, והוא מגיע מאוקספורדשייר באנגליה.
למרבה הפלא, האקר בגיל ההוא שגר לכאורה בעיירה ממש מחוץ לאוקספורד, העיר שממנה מקבל המחוז שמסביב את שמו, הוצא על ידי יריב ממורמר לפשעי סייבר זמן לא רב לפני כן, במה שידוע בתור Doxing.
Doxxing הוא המקום שבו פושע סייבר משחרר מסמכים ופרטים אישיים גנובים בכוונה, לעתים קרובות על מנת לסכן אדם במעצר על ידי רשויות אכיפת החוק, או בסכנת תגמול על ידי יריבים לא מעודכנים או זדוניים.
הדוקסר הדליף את מה שלטענתו הוא כתובת הבית של יריבו, יחד עם פרטים אישיים ותמונות שלו ושל בני משפחה קרובים, כמו גם שלל האשמות שהוא היה סוג של נקודת מוצא בצוות LAPSUS$.
LAPUS$ חזרה לאור הזרקורים
כפי שאתה יכול לדמיין, האחרון סיפורי פריצה של אובר החיה את השם LAPSUS$, בהתחשב בכך שהתוקף במקרה זה נטען כי הוא בן 18, וככל הנראה היה מעוניין רק להשוויץ:
כפי שצ'סטר ויסנייבסקי הסביר לאחרונה קטע מיני פודקאסט:
[ב]מקרה זה, […] נראה שזה "בשביל הלולז". [...האדם שעשה את זה היה בעיקר אסף גביעים כשהם קופצים דרך הרשת - בצורה של צילומי מסך של כל [ה] הכלים השונים וכלי השירות והתוכניות שהיו בשימוש ברחבי אובר - ופרסם אותם בפומבי, אני מניח עבור קרדיט הרחוב.
זמן קצר לאחר הפריצה של אובר, דלפו בשווי של כמעט שעה של מה שנראה כמו וידאו קליפים מהמשחק הקרוב GTA6, ככל הנראה צילומי מסך שנעשו למטרות ניפוי באגים ובדיקות, בעקבות חדירה למשחקי Rockstar.
שוב, אותו האקר צעיר, עם אותו קשר משוער ל-LAPSUS$, היה מעורב במתקפה.
הפעם, מדווח להציע שההאקר חשב על יותר מאשר רק זכויות התרברבות, כביכול אמר שכן "מחפש לנהל משא ומתן על עסקה."
אז, כאשר משטרת העיר לונדון צייץ מוקדם יותר השבוע שהיה להם "עצרו צעיר בן 17 באוקספורדשייר בחשד לפריצה"...
בערב יום חמישי ה-22 בספטמבר 2022, משטרת העיר לונדון עצרה צעיר בן 17 באוקספורדשייר בחשד לפריצה, כחלק מחקירה שנתמכת על ידי @NCA_UKהיחידה הלאומית לפשעי סייבר (NCCU).
הוא נשאר במעצר המשטרה. pic.twitter.com/Zfa3OlDR6J
— משטרת העיר לונדון (@CityPolice) ספטמבר 23, 2022
...אתם יכולים לדמיין לאילו מסקנות הגיעה ה-Twittersphere במהירות.
זה חייב להיות אותו אדם!
הרי מה הסיכוי שאנחנו מדברים כאן על שני חשודים שונים ולא קשורים?
הדבר היחיד שאנחנו לא יודעים הוא היכן נכנס לזה הכינוי LAPSUS$, אם זה בכלל מעורב.
הו, איזו רשת סבוכה אנו טווים/כאשר קודם אנו מתרגלים להונות.
למד כיצד להימנע מהתקפות בסגנון LAPSUS$
לחץ וגרור על גלי הקול למטה כדי לדלג לכל נקודה. אתה יכול גם להקשיב ישירות בסאונדקלאוד.