Microsoft conferma che gli hacker di Lapsus $ hanno rubato il codice sorgente tramite accesso “limitato”:

Il gruppo di hacker Lapsus$, noto per aver affermato di aver violato Nvidia, Samsung e altri, questa settimana ha affermato di aver persino violato Microsoft:. Il gruppo ha pubblicato un file che sosteneva contenesse un codice sorgente parziale per Bing e Cortana in un archivio contenente quasi 37 GB di dati.

Martedì sera, dopo aver indagato, Microsoft ha confermato il gruppo che chiama DEV-0537 ha compromesso “un singolo account” e ha rubato parti del codice sorgente per alcuni dei suoi prodotti. Un post sul blog sul suo sito di sicurezza afferma che gli investigatori di Microsoft hanno monitorato il gruppo Lapsus $ per settimane e dettaglia alcuni dei metodi che hanno utilizzato per compromettere i sistemi delle vittime. Secondo il Microsoft Threat Intelligence Center (MSTIC), l’obiettivo degli attori del DEV-0537 è ottenere un accesso elevato tramite credenziali rubate che consentano il furto di dati e attacchi distruttivi contro un’organizzazione mirata, che spesso sfociano in estorsioni. Tattiche e obiettivi indicano che si tratta di un attore criminale informatico motivato da furto e distruzione”.

Microsoft sostiene che il codice trapelato non è abbastanza grave da causare un aumento del rischio e che i suoi team di risposta hanno chiuso gli hacker durante l’operazione.

Lapsus $ è stato recentemente in lacrime se si devono credere alle sue affermazioni. Il gruppo afferma di aver avuto accesso ai dati di Okta, Samsung e Ubisoft, oltre a Nvidia e ora Microsoft. Mentre aziende come Samsung e Nvidia hanno ammesso che i loro dati sono stati rubati, Okta ha respinto le affermazioni del gruppo di avere accesso al suo servizio di autenticazione, affermando che “Il servizio Okta non è stato violato e rimane pienamente operativo”.

Microsoft:

Questa settimana, l’attore ha dichiarato pubblicamente di aver ottenuto l’accesso a Microsoft e di aver esfiltrato porzioni di codice sorgente. Nessun codice cliente o dato è stato coinvolto nelle attività osservate. La nostra indagine ha rilevato che un singolo account è stato compromesso, garantendo un accesso limitato. I nostri team di risposta alla sicurezza informatica si sono rapidamente impegnati per rimediare all’account compromesso e prevenire ulteriori attività.

Microsoft non fa affidamento sulla segretezza del codice come misura di sicurezza e la visualizzazione del codice sorgente non comporta un aumento del rischio. Le tattiche DEV-0537 usate in questa intrusione riflettono le tattiche e le tecniche discusse in questo blog. Il nostro team stava già indagando sull’account compromesso sulla base dell’intelligence sulle minacce quando l’attore ha rivelato pubblicamente la propria intrusione. Questa divulgazione pubblica ha intensificato la nostra azione consentendo al nostro team di intervenire e interrompere l’attore durante l’operazione, limitando un impatto più ampio.

Questa non è la prima volta che Microsoft afferma di presumere che gli aggressori accederanno al suo codice sorgente: ha affermato la stessa cosa dopo l’attacco Solarwinds. Lapsus $ afferma inoltre di aver ottenuto solo circa il 45% del codice per Bing e Cortana e circa il 90% del codice per Bing Maps. Quest’ultimo sembra un obiettivo meno prezioso degli altri due, anche se Microsoft era preoccupata che il suo codice sorgente rivelasse delle vulnerabilità.

Nel suo post sul blog, Microsoft delinea una serie di passaggi che altre organizzazioni possono intraprendere per migliorare la propria sicurezza, tra cui richiedere l’autenticazione a più fattori, non utilizzare metodi di autenticazione a più fattori “deboli” come messaggi di testo o e-mail secondarie, educare i membri del team sul potenziale di attacchi di ingegneria sociale e la creazione di processi per potenziali risposte agli attacchi Lapsus $. Microsoft afferma inoltre che continuerà a tenere traccia di Lapsus $, tenendo d’occhio eventuali attacchi che effettua ai clienti Microsoft.

Leave a Comment