ชื่อน่าสงสัย LAPSUS$ ทำ พาดหัวข่าวใหญ่ ในเดือนมีนาคม พ.ศ. 2022 เป็นชื่อเล่นของแก๊งแฮ็คหรือในคำที่ไม่เคลือบสีเป็นป้ายกำกับสำหรับกลุ่มอาชญากรไซเบอร์ที่มีชื่อเสียงและกระฉับกระเฉง:
ชื่อนี้ค่อนข้างผิดปกติสำหรับกลุ่มอาชญากรไซเบอร์ ซึ่งมักใช้เครื่องดื่มที่ฟังดูก้าวร้าวและเป็นอันตราย เช่น เดดโบลต์, ซาตาน, Darksideและ Revil.
ดังที่เราได้กล่าวไปแล้วในเดือนมีนาคม อย่างไรก็ตาม หมดอายุ เป็นคำภาษาละตินสมัยใหม่ที่ดีพอๆ กับ "การละเมิดข้อมูล" และเครื่องหมายดอลลาร์ต่อท้ายหมายถึงทั้งมูลค่าทางการเงินและการเขียนโปรแกรม ซึ่งเป็นวิธีดั้งเดิมในการระบุว่าตัวแปร BASIC เป็นสตริงข้อความ ไม่ใช่ตัวเลข
แก๊งค์, ทีม, ลูกเรือ, กองทหาร, กลุ่ม, gaggle, เรียกมันว่าคุณต้องการ, ของผู้โจมตีเห็นได้ชัดว่ามีความคลุมเครือคล้ายคลึงกันในอาชญากรรมทางอินเทอร์เน็ตของพวกเขา
บางครั้งดูเหมือนว่าพวกเขาจะแสดงให้เห็นว่าพวกเขาจริงจังกับการรีดไถเงินหรือขโมยเงินดิจิตอลจากเหยื่อของพวกเขา แต่ในบางครั้งดูเหมือนว่าพวกเขาจะอวด
Microsoft ยอมรับในขณะนั้นว่า แทรกซึม โดย LAPSUS$ แม้ว่าซอฟต์แวร์ยักษ์จะเรียกกลุ่มนี้ว่า DEV-5037 โดยที่อาชญากรจะขโมยซอร์สโค้ดขนาดกิกะไบต์
Okta ผู้ให้บริการ 2FA เป็นเหยื่อรายสำคัญรายอื่นที่แฮ็กเกอร์ได้รับสิทธิ์เข้าถึง RDP ไปยังคอมพิวเตอร์ของ Techie ฝ่ายสนับสนุน ดังนั้นจึงสามารถเข้าถึงระบบภายในของ Okta ได้หลากหลายราวกับว่าพวกเขาเข้าสู่ระบบเครือข่ายของ Okta โดยตรง .
ช่างเทคนิคฝ่ายสนับสนุนนั้นใช้ไม่ได้กับ Okta แต่สำหรับบริษัทที่ Okta ทำสัญญา ดังนั้นผู้โจมตีจึงสามารถเจาะเครือข่ายของ Okta ได้โดยไม่ละเมิด Okta เอง
น่าแปลกที่แม้ว่าการฝ่าฝืนของ Okta จะเกิดขึ้นในเดือนมกราคม พ.ศ. 2022 ทั้ง Okta และผู้รับเหมาของ Okta ไม่ยอมรับการฝ่าฝืนต่อสาธารณะเป็นเวลาประมาณสองเดือนในขณะที่ การตรวจทางนิติวิทยาศาสตร์ ไปยังสถานที่…
…จนกระทั่งเห็นได้ชัดว่า LAPSUS$ ตัดสินใจจองการประกาศอย่างเป็นทางการล่วงหน้าโดย ทิ้งภาพหน้าจอ เพื่อ "พิสูจน์" การละเมิด แดกดันในวันเดียวกับที่ Okta ได้รับรายงานทางนิติเวชขั้นสุดท้ายจากผู้รับเหมา (ไม่ทราบว่า LAPSUS$ ได้รับคำเตือนล่วงหน้าเกี่ยวกับการส่งมอบรายงานได้อย่างไร):
ถัดไปในใบปะหน้าโจมตีคือผู้จำหน่ายชิปกราฟิก Nvidia ซึ่งเห็นได้ชัดว่าประสบปัญหาการโจรกรรมข้อมูลตามมาด้วยหนึ่งใน ความต้องการกรรโชกของแรนซัมแวร์ที่แปลกประหลาดที่สุด บันทึก - เปิดซอร์สโค้ดไดรเวอร์กราฟิกของคุณหรืออื่น ๆ :
ดังที่เรากล่าวไว้ในพอดคาสต์ Naked Security (S3 ตอนที่ 73):
โดยปกติ การเชื่อมต่อระหว่างสกุลเงินดิจิทัลกับแรนซัมแวร์คือตัวขโมย "ไปซื้อสกุลเงินดิจิทัลและส่งให้เรา แล้วเราจะถอดรหัสไฟล์ทั้งหมดของคุณและ/หรือลบข้อมูลของคุณ" […]
แต่ในกรณีนี้ พวกเขากล่าวว่าการเชื่อมต่อกับคริปโตเคอเรนซี “เราจะลืมข้อมูลจำนวนมหาศาลที่เราขโมยไป ถ้าคุณเปิดการ์ดกราฟิกของคุณเพื่อให้พวกเขาสามารถเข้ารหัสเหมืองได้อย่างเต็มประสิทธิภาพ”
เพราะนั่นย้อนกลับไปสู่การเปลี่ยนแปลงที่ Nvidia ทำเมื่อปีที่แล้ว [2021] ซึ่งได้รับความนิยมอย่างมากจากนักเล่นเกม
อาชญากรไซเบอร์ประเภทอื่น?
สำหรับกิจกรรมออนไลน์ทั้งหมดที่เกี่ยวข้องกับ LAPSUS$ ถือเป็นความผิดทางอาญาที่ร้ายแรงและไร้ยางอาย พฤติกรรมหลังการเอารัดเอาเปรียบของกลุ่มมักดูค่อนข้างเก่า
ซึ่งแตกต่างจากผู้โจมตีแรนซัมแวร์มูลค่าหลายล้านดอลลาร์ในปัจจุบัน ซึ่งมีแรงจูงใจหลักคือเงิน เงิน และเงินที่มากขึ้น เห็นได้ชัดว่า LAPSUS$ สอดคล้องกับฉากการเขียนไวรัสในช่วงปลายทศวรรษ 1980 และ 1990 ที่การโจมตีมักเกิดขึ้นเพียงเพื่อสิทธิในการโอ้อวดและ “สำหรับ ลัลซ์”
(วลี สำหรับ lulz แปลคร่าวๆว่า เพื่อปลุกเร้าเสียงหัวเราะเยาะเย้ยถากถาง, ขึ้นอยู่กับตัวย่อ LOLย่อมาจาก “หัวเราะออกมาดังๆ”)
ดังนั้น เมื่อตำรวจเมืองลอนดอนประกาศ เพียงสองวันหลังจากที่ภาพหน้าจอของการโจมตี Okta ที่ไม่ร่าเริงเลยปรากฏขึ้น ก็มี จับกุม สิ่งที่ฟังดูเหมือนกลุ่มวัยรุ่นในสหราชอาณาจักรที่ถูกกล่าวหาว่าเป็นสมาชิกของกลุ่มแฮ็ค ...
…สื่อไอทีของโลกได้เชื่อมต่อกับ LAPSUS$ อย่างรวดเร็ว:
เท่าที่เราทราบ การบังคับใช้กฎหมายของสหราชอาณาจักรไม่เคยใช้คำว่า LAPSUS$ เกี่ยวข้องกับผู้ต้องสงสัยในการจับกุมครั้งนั้น โดยสังเกตย้อนกลับไปในเดือนมีนาคม 2022 ง่ายๆ ว่า “การสอบถามของเรายังคงดำเนินต่อไป”
อย่างไรก็ตาม ความเชื่อมโยงที่ชัดเจนกับ LAPSUS$ นั้นอนุมานได้จากข้อเท็จจริงที่ว่าเด็กหนุ่มคนหนึ่งที่ถูกจับกุมนั้นมีอายุ 17 ปี และมาจากเมืองอ็อกซ์ฟอร์ดเชียร์ในอังกฤษ
น่าแปลกที่แฮ็กเกอร์ในวัยนั้นซึ่งถูกกล่าวหาว่าอาศัยอยู่ในเมืองนอกเมืองอ็อกซ์ฟอร์ด ซึ่งเป็นเมืองที่มณฑลโดยรอบได้รับชื่อนั้น ถูกคู่แข่งอาชญากรรมไซเบอร์ที่ไม่พอใจเมื่อไม่นานก่อนหน้านี้ ในสิ่งที่เรียกว่า ดุ๊กดิ๊ก.
Doxxing เป็นที่ที่อาชญากรไซเบอร์เผยแพร่เอกสารส่วนตัวและรายละเอียดที่ขโมยมาโดยเจตนา บ่อยครั้งเพื่อทำให้บุคคลเสี่ยงต่อการถูกจับกุมโดยการบังคับใช้กฎหมาย หรือตกอยู่ในอันตรายจากการถูกลงโทษโดยฝ่ายตรงข้ามที่ไม่รู้ข้อมูลหรือมุ่งร้าย
Doxxer รั่วไหลสิ่งที่เขาอ้างว่าเป็นที่อยู่บ้านของคู่แข่ง พร้อมรายละเอียดส่วนตัวและรูปถ่ายของเขาและสมาชิกในครอบครัวที่ใกล้ชิด ตลอดจนข้อกล่าวหามากมายว่าเขาเป็นตัวหลักในทีม LAPSUS$
LAPUS$ กลับมาเป็นที่สนใจอีกครั้ง
อย่างที่คุณจินตนาการได้ ล่าสุด Uber แฮ็คเรื่อง ฟื้นชื่อ LAPSUS$ เนื่องจากผู้โจมตีในคดีนั้นถูกกล่าวอ้างอย่างกว้างขวางว่ามีอายุ 18 ปี และเห็นได้ชัดว่าสนใจที่จะอวดเท่านั้น:
ดังที่ Chester Wisniewski อธิบายไว้เมื่อเร็วๆ นี้ พอดคาสต์ minisode:
[ฉัน] ในกรณีนี้ […] ดูเหมือนว่าจะเป็น "เพื่อคนโง่" […คนที่ทำมันส่วนใหญ่เป็นการรวบรวมถ้วยรางวัลเมื่อพวกเขาเด้งผ่านเครือข่าย – ในรูปแบบของภาพหน้าจอของเครื่องมือและยูทิลิตี้และโปรแกรมต่าง ๆ ทั้งหมด [the] และโปรแกรมที่ใช้งานรอบ Uber – และโพสต์ต่อสาธารณะฉันเดา สำหรับเครดิตถนน
ไม่นานหลังจากการแฮ็ก Uber เกือบหนึ่งชั่วโมงของสิ่งที่ดูเหมือนจะเป็นวิดีโอคลิปจากเกม GTA6 ที่กำลังจะมาถึงซึ่งเห็นได้ชัดว่าการจับภาพหน้าจอที่สร้างขึ้นเพื่อจุดประสงค์ในการดีบักและการทดสอบ รั่วไหลออกมาหลังจากการบุกรุกที่เกม Rockstar
เป็นอีกครั้งที่แฮ็กเกอร์หนุ่มคนเดิมซึ่งสันนิษฐานว่ามีความเกี่ยวข้องกับ LAPSUS$ เหมือนกัน มีส่วนเกี่ยวข้องในการโจมตี
ครั้งนี้รายงาน แนะนำ ว่าแฮ็กเกอร์มีความคิดมากกว่าที่จะคุยโอ้อวดโดยอ้างว่าตนเป็น “กำลังหาทางเจรจาข้อตกลง”
ดังนั้น เมื่อตำรวจนครลอนดอน ทวีต เมื่อต้นสัปดาห์นี้ที่พวกเขามี “จับกุมเด็กอายุ 17 ปีในอ็อกซ์ฟอร์ดเชียร์ในข้อหาแฮ็ค”...
ในตอนเย็นของวันพฤหัสบดีที่ 22 กันยายน พ.ศ. 2022 ตำรวจนครลอนดอนได้จับกุมเด็กอายุ 17 ปีในอ็อกซ์ฟอร์ดเชียร์ในข้อหาแฮ็คข้อมูล ซึ่งเป็นส่วนหนึ่งของการสอบสวนที่ได้รับการสนับสนุนจาก @NCA_UKหน่วยปราบปรามอาชญากรรมไซเบอร์แห่งชาติ (คสช.)
เขายังคงอยู่ในความดูแลของตำรวจ pic.twitter.com/Zfa3OlDR6J
– ตำรวจเมืองลอนดอน (@CityPolice) September 23, 2022
…คุณสามารถจินตนาการได้ว่าข้อสรุปใดที่ Twittersphere ไปถึงอย่างรวดเร็ว
ต้องเป็นคนๆเดียวกัน!
ท้ายที่สุดแล้ว โอกาสที่เรากำลังพูดถึงผู้ต้องสงสัยสองคนที่แตกต่างกันและไม่เกี่ยวข้องกันที่นี่เป็นอย่างไรบ้าง
สิ่งเดียวที่เราไม่รู้คือที่มาของชื่อเล่น LAPSUS$ ค่อนข้างมาก ถ้ามันเกี่ยวข้องจริงๆ
โอ้ช่างเป็นใยที่พันกันมาก / เมื่อเราฝึกหลอกลวงครั้งแรก
เรียนรู้วิธีหลีกเลี่ยงการโจมตีแบบ LAPSUS$-STYLE
คลิกแล้วลากบนคลื่นเสียงด้านล่างเพื่อข้ามไปยังจุดใดก็ได้ นอกจากนี้คุณยังสามารถ ฟังโดยตรง บนซาวด์คลาวด์