Det nysgjerrige navnet LAPSUS$ laget store overskrifter i mars 2022 som kallenavnet til en hackergjeng, eller, med unyanserte ord, som merkelappen for et beryktet og aktivt kollektiv av nettkriminelle:
Navnet var noe uvanlig for et cybercrime-mannskap, som ofte tar i bruk soubriquets som høres edgy og destruktive ut, som f.eks. DEADBOLT, Satan, Darksideog EVIL.
Som vi nevnte tilbake i mars, forfalle er et like godt moderne latinsk ord som noe for "datainnbrudd", og det etterfølgende dollartegnet betyr både økonomisk verdi og programmering, og er den tradisjonelle måten å betegne at BASIC-variabelen er en tekststreng, ikke et tall.
Gjengen, teamet, mannskapet, posse, kollektiv, kneble, kall det hva du vil, av angripere presenterte tilsynelatende en lignende form for tvetydighet i deres nettkriminalitet.
Noen ganger så det ut til at de viste at de var seriøse med å presse penger eller rive bort kryptovaluta fra ofrene sine, men noen ganger så det ut til at de rett og slett viste seg frem.
Microsoft innrømmet den gang at det hadde vært det infiltrert av LAPSUS$, selv om programvaregiganten omtalte gruppen som DEV-5037, med kriminelle som tilsynelatende stjeler gigabyte med kildekode.
Okta, en 2FA-tjenesteleverandør, var et annet høyt profilert offer, der hackerne skaffet seg RDP-tilgang til en støttetekniker sin datamaskin, og derfor kunne få tilgang til et bredt spekter av Oktas interne systemer som om de var logget inn direkte på Oktas eget nettverk .
Denne støtteteknologien fungerte ikke for Okta, men for et selskap kontrakt med Okta, slik at angriperne i hovedsak var i stand til å bryte Oktas nettverk uten å bryte Okta selv.
Interessant nok, selv om Oktas brudd skjedde i januar 2022, ga verken Okta eller dets entreprenør noen offentlig innrømmelse av bruddet på omtrent to måneder, mens en rettsmedisinsk undersøkelse fant sted…
...inntil LAPSUS$ tilsynelatende bestemte seg for å foregripe enhver offisiell kunngjøring innen dumping av skjermbilder for å "bevise" bruddet, ironisk nok samme dag som Okta mottok den endelige rettsmedisinske rapporten fra entreprenøren (hvordan, eller om, LAPSUS$ fikk forhåndsvarsel om rapportens levering er ukjent):
Neste på angrepsdokumentet var grafikkbrikkeleverandøren Nvidia, som tilsynelatende også ble utsatt for et dataran, etterfulgt av en av rareste løsepengevare-med-forskjell-utpressingskrav registrert – åpen kildekode for grafikkdriverkoden din, ellers:
Som vi sa i Naked Security-podcasten (S3 Ep73):
Normalt er forbindelsen mellom kryptovaluta og løsepengevare skurkens figur, "Gå og kjøp litt kryptovaluta og send den til oss, så dekrypterer vi alle filene dine og/eller sletter dataene dine." […]
Men i dette tilfellet var forbindelsen med kryptovaluta at de sa: "Vi vil glemme alt om den enorme mengden data vi stjal hvis du åpner grafikkortene dine slik at de kan kryptominere med full kraft."
Fordi det går tilbake til en endring som Nvidia gjorde i fjor [2021], som var veldig populær blant spillere [ved å fraråde kryptominere å kjøpe opp alle Nvidia GPUer på markedet for ikke-grafiske formål].
En annen type nettkriminell?
Til tross for at nettaktivitetene som tilskrives LAPSUS$ har vært alvorlig og uforskammet kriminelle, virket gruppens oppførsel etter utnyttelse ofte ganske gammeldags.
I motsetning til dagens løsepengevareangripere på flere millioner dollar, hvis primære motivasjon er penger, penger og mer penger, var LAPSUS$ tilsynelatende mer på linje med virusskrivingsscenen på slutten av 1980- og 1990-tallet, der angrep vanligvis ble utført bare for å skryte og "for den lulz».
(Frasen for lulz oversettes omtrent som for å fremprovosere fornærmende munter latter, basert på akronymet LOL, forkortelse for «laughing out loud».)
Så da City of London-politiet kunngjorde, bare to dager etter at de ikke-så-glade-i det hele tatt skjermdumpene av Okta-angrepet dukket opp, at det hadde arrestert det som hørtes ut som en broket gjeng med ungdommer i Storbritannia for angivelig å være medlemmer av en hackergruppe ...
…verdens IT-medier opprettet raskt en forbindelse med LAPSUS$:
Så vidt vi er kjent med, har britisk rettshåndhevelse aldri brukt ordet LAPSUS$ i forbindelse med de mistenkte i arrestasjonen, og bemerket tilbake i mars 2022 ganske enkelt at "Forespørslene våre fortsetter."
Likevel ble det utledet en tilsynelatende kobling med LAPSUS$ fra det faktum at en av ungdommene som ble tatt ble sagt å være 17 år gammel, og å komme fra Oxfordshire i England.
Fascinerende nok, en hacker på den alderen som angivelig bodde i en by like utenfor Oxford, byen som det omkringliggende fylket har fått navnet sitt fra, hadde blitt kastet ut av en misfornøyd rival med nettkriminalitet ikke lenge før, i det som er kjent som en Doxing.
Doxxing er der en nettkriminell frigir stjålne personlige dokumenter og detaljer med vilje, ofte for å sette en person i fare for arrestasjon av rettshåndhevelse, eller i fare for gjengjeldelse fra dårlig informerte eller ondsinnede motstandere.
Doxxeren lekket det han hevdet var rivalens hjemmeadresse, sammen med personlige detaljer og bilder av ham og nære familiemedlemmer, samt en haug med påstander om at han var en slags knutepunkt i LAPSUS$-mannskapet.
LAPUS$ tilbake i søkelyset
Som du kan forestille deg, den siste Uber-hackinghistorier gjenopplivet navnet LAPSUS$, gitt at angriperen i det tilfellet ble hevdet å være 18 år gammel, og tilsynelatende bare var interessert i å vise seg frem:
Som Chester Wisniewski forklarte i en nylig podcast minisode:
[I] dette tilfellet, […] ser det ut til å være "for lulz". […Den] personen som gjorde det samlet mesteparten av trofeer mens de spratt gjennom nettverket – i form av skjermbilder av alle [de] forskjellige verktøyene og verktøyene og programmene som var i bruk rundt Uber – og publiserte dem offentlig, antar jeg for street cred.
Kort tid etter Uber-hacket ble nesten en times verdi av det som så ut til å være videoklipp fra det kommende spillet GTA6, tilsynelatende skjermbilder laget for feilsøkings- og testformål, lekket etter et innbrudd i Rockstar-spill.
Nok en gang var den samme unge hackeren, med den samme antatte forbindelsen til LAPSUS$, involvert i angrepet.
Denne gangen, melder foreslår at hackeren hadde mer i tankene bare enn å skryte, og angivelig sa at de var det "ønsker å forhandle en avtale."
Så, når City of London Police twitret tidligere denne uken som de hadde «arresterte en 17-åring i Oxfordshire, mistenkt for hacking»...
Om kvelden torsdag 22. september 2022 arresterte City of London-politiet en 17-åring i Oxfordshire, mistenkt for hacking, som en del av en etterforskning støttet av @NCA_UKsin nasjonale enhet for cyberkriminalitet (NCCU).
Han sitter fortsatt i politiets varetekt. pic.twitter.com/Zfa3OlDR6J
— City of London Police (@CityPolice) September 23, 2022
…du kan forestille deg hvilke konklusjoner Twittersphere raskt kom til.
Det må være samme person!
Tross alt, hva er sjansen for at vi snakker om to forskjellige og usammenhengende mistenkte her?
Det eneste vi ikke vet er helt hvor LAPSUS$-navnet kommer inn i det, hvis det faktisk er involvert i det hele tatt.
Å, for et sammenfiltret nett vi vever/Når vi først øver oss på å lure.
LÆR HVORDAN DU UNNGÅR ANgrep i LAPSUS$-STILEN
Klikk og dra på lydbølgene nedenfor for å hoppe til et hvilket som helst punkt. Du kan også lytte direkte på Soundcloud.