Getty Images
Un groupe hétéroclite de hackers amateurs, dont beaucoup d’adolescents avec peu de formation technique, ont été si habiles à violer de grandes cibles, y compris Microsoft, Okta, Nvidia et Globant, que le gouvernement fédéral étudie leurs méthodes pour obtenir une meilleure connaissance de la cybersécurité. .
Le groupe, connu sous le nom de Lapsus$, est un groupe vaguement organisé qui utilise des techniques de piratage qui, bien que décidément peu sophistiquées, se sont avérées très efficaces. Ce qui manque au groupe dans l’exploitation logicielle, il le compense par la persévérance et la créativité. Un exemple est leur technique pour contourner la MFA (authentification multifacteur) dans des organisations bien protégées.
Étudier le playbook de piratage Lapsus$
Plutôt que de compromettre l’infrastructure utilisée pour faire fonctionner divers services MFA, comme le font des groupes plus avancés, un dirigeant de Lapsus$ a décrit l’année dernière son approche pour vaincre la MFA de cette façon : « Appelez l’employé 100 fois à 1 heure du matin pendant qu’il essaie de dormir, et il l’acceptera plus que probablement. Une fois que l’employé a accepté l’appel initial, vous pouvez accéder au portail d’inscription MFA et inscrire un autre appareil. »
Jeudi, le comité d’examen de la cybersécurité du département de la sécurité intérieure a publié un rapport documentant bon nombre des tactiques les plus efficaces du livre de jeu Lapsus $ et exhortant les organisations à développer des contre-mesures pour les empêcher de réussir.
Comme quelques autres groupes de menaces plus avancés sur le plan technique, Lapsus$ « a montré sa capacité à identifier les points faibles du système – comme les fournisseurs en aval ou les fournisseurs de télécommunications – qui permettaient d’accéder à leurs victimes », ont écrit les responsables dans le rapport de 52 pages. « Ils ont également montré un talent particulier pour l’ingénierie sociale, attirant les employés d’une cible pour essentiellement ouvrir les portes du réseau d’entreprise. »
La liste des cibles violées par Lapsus$ ou dont les données propriétaires ont été volées par Lapsus$ via des hacks sur des tiers est étonnamment longue pour un groupe qui a fonctionné pendant un peu plus d’un an et dont la principale motivation semblait être la célébrité. Les faits saillants des exploits et des pratiques non conventionnelles du groupe sont :
- Une campagne de phishing qui a utilisé le bombardement MFA et d’autres techniques non sophistiquées a réussi à percer le fournisseur MFA basé à San Francisco Twilio et a failli violer le réseau de diffusion de contenu Cloudflare si ce dernier n’utilisait pas le MFA qui est conforme à la norme industrielle FIDO2.
- La violation du réseau d’entreprise de Nvidia et le prétendu vol d’un téraoctet de données d’entreprise. En échange du fait que Lapsus$ ne divulgue pas l’intégralité du transport, le groupe a demandé à Nvidia d’autoriser ses cartes graphiques à exploiter plus rapidement les crypto-monnaies et à rendre ses pilotes GPU open source.
- La publication de données propriétaires de Microsoft et du fournisseur d’authentification unique Okta, que Lapsus $ a déclaré avoir obtenu après avoir piraté les systèmes des deux sociétés.
- La faille de réseau du fournisseur de services informatiques Globant et la publication de pas moins de 70 gigaoctets de données appartenant à l’entreprise.
- Les prétendues multiples violations en mars 2022 de T-Mobile. Les hacks auraient utilisé une technique connue sous le nom d’échange de carte SIM, dans laquelle les acteurs de la menace trompent ou paient le personnel de l’opérateur téléphonique pour transférer le numéro de téléphone d’une cible sur une nouvelle carte SIM. Lorsque le groupe a été bloqué sur un compte, il a effectué un nouvel échange de carte SIM sur un autre employé de T-Mobile.
- Piratage du ministère brésilien de la Santé et suppression de plus de 50 téraoctets de données stockées sur les serveurs du ministère.
- Le ciblage le plus réussi de nombreuses organisations supplémentaires, notamment, selon la société de sécurité Flashpoint, Vodafone Portugal, Impresa, Confina, Samsung et Localiza.
D’autres tactiques peu qualifiées qui se sont avérées particulièrement efficaces étaient l’achat par le groupe de cookies d’authentification et d’autres informations d’identification auprès de courtiers d’accès initial.
Les auteurs du rapport de jeudi ont écrit:
Lapsus$ a attiré l’attention des professionnels de la cybersécurité et de la presse presque immédiatement après avoir fourni une transparence inégalée sur le fonctionnement interne de la façon dont il ciblait les organisations et les individus, organisait ses attaques et interagissait en son sein et avec d’autres groupes de menaces. Son état d’esprit était pleinement visible dans le monde entier et Lapsus$ a clairement indiqué à quel point il était facile pour ses membres (des mineurs, dans certains cas) d’infiltrer des organisations bien défendues. Lapsus$ semblait fonctionner à divers moments pour la notoriété, le gain financier ou l’amusement, et mélangeait une variété de techniques, certaines plus complexes que d’autres, avec des éclairs de créativité. Mais Lapsus$ ne fait pas partie de cette catégorie d’acteurs menaçants qui fait la plupart des gros titres : l’acteur menaçant de l’État-nation avec des tactiques offensives bien dotées qui se cache dans les coulisses pendant des années à la fois ou les groupes transnationaux de rançongiciels qui coûtent à l’échelle mondiale. l’économie des milliards de dollars. En fait, Lapsus$ n’a pas utilisé le type de nouvelles techniques zero-day que l’industrie a l’habitude de voir fréquemment dans les actualités.
Le rapport contient diverses recommandations. La clé d’entre eux est le passage à des systèmes d’authentification sans mot de passe, qui font vraisemblablement référence à des clés d’accès, basés sur FIDO2. Comme toutes les offres FIDO2, les clés d’accès sont immunisées contre toutes les attaques de phishing d’informations d’identification connues, car la norme exige que l’appareil qui fournit l’authentification MFA ne se trouve pas à plus de quelques mètres de l’appareil qui se connecte.
Une autre recommandation est que la Federal Communications Commission et la Federal Trade Commission renforcent les réglementations concernant le portage des numéros de téléphone d’une carte SIM à une autre pour limiter l’échange de cartes SIM.
« Les organisations doivent agir maintenant pour se protéger, et le Conseil a identifié des moyens concrets de le faire, avec l’aide du gouvernement américain et des entreprises les mieux préparées à fournir des solutions sûres par défaut pour améliorer l’ensemble de l’écosystème », indique le rapport. auteurs ont écrit. « De nombreuses recommandations du Conseil s’inscrivent dans le thème plus large de la « sécurité dès la conception », reflétant la conversation plus large de l’industrie, y compris les efforts de la Cybersecurity and Infrastructure Security Agency (CISA) Secure by Design. »