En una entrada de blog publicada el martes, horas después de que Lapsus$ publicara un archivo torrent con código fuente parcial de Bing, Bing Maps y Cortana, Microsoft reveló que la cuenta de un solo empleado fue comprometida por el grupo de hackers, lo que permitió a los atacantes un “acceso limitado” a los sistemas de Microsoft y el robo del código fuente de la compañía.
La compañía añadió que no se comprometió algún código o dato de clientes.
Microsoft no ha compartido más detalles sobre cómo se comprometió la cuenta, pero proporcionó una visión general de las tácticas, técnicas y procedimientos del grupo Lapsus$, que el Centro de Inteligencia de Amenazas de la compañía, conocido como MSTIC, ha observado a través de múltiples ataques. Inicialmente, estos ataques se dirigían a organizaciones de Sudamérica y el Reino Unido, aunque desde entonces Lapsus$ se ha expandido a objetivos globales, incluyendo gobiernos y empresas de los sectores de la tecnología, las telecomunicaciones, los medios de comunicación, el comercio minorista y la sanidad
El grupo, al que el gigante tecnológico sigue la pista como DEV-0537, opera con un “modelo de extorsión y destrucción puro” y, a diferencia de otros grupos de piratas informáticos, “no parece cubrir sus huellas”, según Microsoft, probablemente un guiño al reclutamiento público por parte del grupo de personas de la empresa para que le ayuden a realizar sus ataques selectivos. El grupo utiliza una serie de métodos para obtener acceso inicial a una organización, que suelen centrarse en comprometer las identidades y cuentas de los usuarios. Además del reclutamiento de empleados en las organizaciones objetivo, estos métodos incluyen la compra de credenciales en foros de la web oscura, la búsqueda de credenciales expuestas en repositorios públicos y el despliegue del robador de contraseñas Redline.
A continuación, Lapsus$ utiliza las credenciales comprometidas para acceder a los dispositivos y sistemas de la empresa orientados a Internet, como las redes privadas virtuales, la infraestructura de escritorio remoto o los servicios de gestión de identidades, como Okta, que el grupo de piratas informáticos consiguió vulnerar en enero. Microsoft afirma que, al menos en uno de los casos, Lapsus$ realizó un ataque de intercambio de SIM para obtener el control del número de teléfono y los mensajes de texto de un empleado y así acceder a los códigos de autenticación multifactor (MFA) necesarios para iniciar sesión en una organización.
Después de obtener acceso a la red, Lapsus utiliza herramientas disponibles públicamente para explorar las cuentas de usuario de una organización para encontrar empleados que tengan mayores privilegios o un acceso más amplio, y luego apunta a plataformas de desarrollo y colaboración, como Jira, Slack y Microsoft Teams, donde se roban más credenciales. El grupo de hackers también utiliza estas credenciales para obtener acceso a los repositorios de código fuente en GitLab, GitHub y Azure DevOps, como hizo con el ataque a Microsoft.
La banda de Lapsus$ estableció una infraestructura dedicada en conocidos proveedores de servidores privados virtuales (VPS) y aprovechó el servicio de red privada virtual de consumo NordVPN para exfiltrar datos, incluso utilizando servidores VPN localizados que estaban geográficamente cerca de sus objetivos para evitar activar las herramientas de detección de la red. Los datos robados se utilizan después para futuras extorsiones o se difunden públicamente.
Con información de Europa Press.
