Le groupe de piratage Lapsu$ a fait sensation ces dernières semaines en réussissant à infiltrer et à voler des informations confidentielles sur les réseaux d’entreprise appartenant à Microsoft, Nvidia et Samsung. Les chercheurs enquêtant sur les attaques pensent que le groupe était dirigé par un jeune anglais de 16 ans, assisté d’un autre adolescent brésilien, ce qui pourrait expliquer pourquoi le groupe ne s’est pas comporté comme les autres hackers contemporains.
Quatre enquêteurs enquêtant sur Lapsu$ pour le compte d’entreprises attaquées soupçonnent que le cerveau du groupe est un jeune de 16 ans qui vit avec sa mère à Oxford, en Angleterre, rapporte Bloomberg. Un autre membre du groupe est un adolescent brésilien, qui serait si capable de pirater que les enquêteurs ont d’abord cru que l’activité dont ils étaient témoins était automatisée. Jusqu’à présent, les forces de l’ordre n’ont pas officiellement inculpé les suspects d’actes répréhensibles. Le groupe comprend au moins sept membres.
Comme d’autres groupes de piratage à la recherche de profits, Lapsu$ s’immisce dans les réseaux d’entreprises, vole des données confidentielles, puis demande une rançon pour ne pas les divulguer. Mais outre les profits, la notoriété est un autre motif qui anime le groupe, estiment certains experts. De plus, le groupe a une sécurité opérationnelle médiocre, ce qui signifie qu’ils peuvent eux-mêmes être piratés, selon Microsoft, qui appelle le groupe DEV-0537.
« Contrairement à la plupart des groupes d’activités qui restent sous le radar, DEV-0537 ne semble pas couvrir ses traces », lit-on dans un article de blog de Microsoft. « Ils vont jusqu’à annoncer leurs attaques sur les réseaux sociaux ou à annoncer leur intention d’acheter des informations d’identification aux employés des organisations cibles. DEV-0537 utilise également plusieurs tactiques qui sont moins fréquemment utilisées par d’autres acteurs de la menace suivis par Microsoft. […] DEV-0537 a concentré ses efforts d’ingénierie sociale pour recueillir des connaissances sur les opérations commerciales de sa cible. Ces informations comprennent des connaissances sur les employés, les structures d’équipe, les services d’assistance, les flux de travail de réponse aux crises et les relations de la chaîne d’approvisionnement. Des exemples de ces […] les tactiques incluent le spamming d’un utilisateur cible avec des invites d’authentification multifactorielle (MFA) et l’appel du service d’assistance de l’organisation pour réinitialiser les informations d’identification d’une cible.
Compte tenu du mode de fonctionnement de Lapsu$, il est évident que l’organisation est assez grande et comprend des membres aux compétences différentes. En supposant que nous ayons effectivement affaire à une grande organisation, nous ne pouvons que nous demander si elle pourrait bien être dirigée par un adolescent.
En supposant que les chercheurs aient correctement identifié les membres du groupe et son chef, ce ne sera qu’une question de temps avant qu’il ne soit fissuré. Cependant, des groupes de piratage utilisant des tactiques, des techniques et des procédures similaires émergeront probablement à l’avenir.
Microsoft pense que la lutte contre les groupes de piratage comme Lapsu$ implique non seulement les méthodes de cybersécurité habituelles, mais également des éléments tels que les programmes de risque d’initiés. En conséquence, Microsoft recommande non seulement de mettre en œuvre des méthodes de sécurité plus robustes, mais de revoir des éléments tels que les politiques du service d’assistance, de former les employés et de recommander aux membres des équipes techniques de signaler tout contact inhabituel avec des collègues.