Microsoft a confirmé qu’il avait été piraté par le groupe de piratage Lapsus$.
Dans un article de blog mardi – publié quelques heures après que Lapsus$ a publié un fichier torrent contenant une partie du code source de Bing, Bing Maps et Cortana – Microsoft a révélé que le compte d’un seul employé avait été compromis par le groupe de piratage, accordant aux attaquants un « accès limité » à systèmes de Microsoft et permettant le vol du code source de l’entreprise.
Microsoft a ajouté qu’aucun code ou donnée client n’a été compromis.
« Nos équipes d’intervention en matière de cybersécurité se sont rapidement engagées pour remédier au compte compromis et empêcher toute nouvelle activité », a déclaré Microsoft. « Microsoft ne s’appuie pas sur le secret du code comme mesure de sécurité et la visualisation du code source n’entraîne pas d’augmentation des risques. Notre équipe enquêtait déjà sur le compte compromis sur la base de renseignements sur les menaces lorsque l’acteur a révélé publiquement son intrusion. Cette divulgation publique a intensifié notre action, permettant à notre équipe d’intervenir et d’interrompre l’acteur en cours d’opération, limitant ainsi un impact plus large.
Microsoft n’a pas partagé d’autres détails sur la manière dont le compte a été compromis, mais a fourni un aperçu des tactiques, techniques et procédures du groupe Lapsus$, que le Threat Intelligence Center de la société, connu sous le nom de MSTIC, a observé à travers plusieurs attaques. Initialement, ces attaques ciblaient des organisations en Amérique du Sud et au Royaume-Uni, bien que Lapsus$ se soit depuis étendu à des cibles mondiales, notamment des gouvernements et des entreprises des secteurs de la technologie, des télécommunications, des médias, de la vente au détail et de la santé.
Le groupe, que le géant de la technologie suit sous le nom de DEV-0537, fonctionne avec un « modèle d’extorsion et de destruction pures » et, contrairement à d’autres groupes de piratage, « ne semble pas brouiller les pistes », selon Microsoft, probablement un clin d’œil à le recrutement public par le groupe d’initiés de l’entreprise pour l’aider à mener ses attaques ciblées. Le groupe utilise un certain nombre de méthodes pour obtenir un accès initial à une organisation, qui se concentrent généralement sur la compromission des identités et des comptes des utilisateurs. Outre le recrutement d’employés dans des organisations ciblées, il s’agit notamment d’acheter des informations d’identification sur des forums Web sombres, de rechercher dans des référentiels publics des informations d’identification exposées et de déployer le voleur de mots de passe Redline.
Lapsus$ utilise ensuite des informations d’identification compromises pour accéder aux appareils et systèmes d’une entreprise connectés à Internet, tels que les réseaux privés virtuels, l’infrastructure de bureau à distance ou les services de gestion d’identité, tels qu’Okta, que le groupe de piratage a réussi à violer en janvier. Microsoft affirme que dans au moins un compromis, Lapsus $ a effectué une attaque par échange de carte SIM pour prendre le contrôle du numéro de téléphone et des SMS d’un employé afin d’accéder aux codes d’authentification multifacteur (MFA) nécessaires pour se connecter à une organisation.
Après avoir obtenu l’accès au réseau, Lapsus utilise ensuite des outils accessibles au public pour explorer les comptes d’utilisateurs d’une organisation afin de trouver des employés disposant de privilèges plus élevés ou d’un accès plus large, puis cible les plates-formes de développement et de collaboration, telles que Jira, Slack et Microsoft Teams, où d’autres informations d’identification sont volés. Le groupe de piratage utilise également ces informations d’identification pour accéder aux référentiels de code source sur GitLab, GitHub et Azure DevOps, comme il l’a fait lors de l’attaque contre Microsoft.
« Dans certains cas, DEV-0537 a même appelé le service d’assistance de l’organisation et a tenté de convaincre le personnel d’assistance de réinitialiser les informations d’identification d’un compte privilégié », a ajouté Microsoft. « Le groupe a utilisé les informations précédemment recueillies (par exemple, les photos de profil) et a demandé à un appelant de langue maternelle anglaise de parler avec le personnel du service d’assistance pour améliorer son attrait d’ingénierie sociale. »
Le gang Lapsus$ a mis en place une infrastructure dédiée chez des fournisseurs de serveurs privés virtuels (VPS) connus et exploite le service de réseau privé virtuel grand public NordVPN pour exfiltrer des données, même en utilisant des serveurs VPN localisés géographiquement proches de leurs cibles pour éviter de déclencher des outils de détection de réseau. Les données volées sont ensuite utilisées pour de futures extorsions ou rendues publiques.
Le groupe de piratage Lapsus$ s’est fait un nom au cours des dernières semaines, compromettant un certain nombre d’entreprises de premier plan, dont Nvidia et Samsung. Plus tôt cette semaine, sa dernière victime a été dévoilée sous le nom d’Okta après que le gang a publié des captures d’écran des systèmes internes du géant de l’identité. Okta a confirmé la violation, qui, selon elle, était le résultat de la compromission par Lapsus $ d’un ingénieur de support client tiers et a déclaré qu’elle affectait environ 2,5 % de ses 15 000 clients.
On ne sait pas actuellement pourquoi Okta n’a pas informé ses clients de la compromission, qui s’est produite pendant une fenêtre de cinq jours en janvier, jusqu’à maintenant.
Lire la suite: