自古黑客出少年--打脸微软和Okta的Lapsus$幕后主谋竟然是”千万巨富“的英国16岁自闭症少年？

网络安全研究人员调查了一系列针对微软、Okta、英伟达等科技公司的黑客攻击，他们将这些攻击追溯到住在英国牛津附近他母亲家中的一名16岁少年。代表被攻击公司调查黑客组织Lapsus$的四名研究人员表示，他们认为这名少年是主谋。Lapsus$已经让网络安全专家感到困惑，因为它已经实施了一系列备受瞩目的黑客攻击事件。攻击背后的动机尚不清楚，但一些网络安全研究人员表示，他们认为该组织的动机是金钱和名声。尽管研究人员怀疑这名少年是Lapsus$组织的幕后黑手，但他们无法最终将他与Lapsus$所声称的每一次攻击事件联系起来。研究人员使用来自黑客的网络证据以及公开可用的信息将这名少年与黑客组织Lapsus$联系起来。24日晚间BBC最新报道显示，伦敦警方已采取行动，抓捕了7名与该组织有关的青少年，但未透露是否这个绰号“White”的少年。综合来看，Lapsus$黑客组织有几个典型的特点，一是个人目标突破与超强的社会工程相结合；二是从地下黑客论坛或暗网购买目标的访问权限或零日漏洞；三是买通目标内部的关键人员形成里应外合。四是组织松散运营管理混乱，给安全调查创造了系列机会和线索。

自古黑客出少年--打脸微软和Okta的Lapsus$幕后主谋竟然是”千万巨富“的英国16岁自闭症少年？(图1)

Okta和Microsoft相继被攻陷

Okta和Microsoft的数据泄露事件是LAPSUS$组织发起的大规模渗透中的最新一起，该攻击组织还攻陷了Impresa、NVIDIA、三星、沃达丰和Ubisoft等知名企业。它还以在拥有超过 46,200名活跃成员的电报频道上公布其战果而闻名。

22日，LAPSUS$ 通过其Telegram 频道宣布，它正在发布从微软窃取的源代码。在3 月22日发表的一篇博客文章中，微软表示它在LAPSUS$组织的源代码下载完成之前中断了它，并且它能够这样做是因为LAPSUS$ 在下载完成之前公开讨论了他们在Telegram频道上的非法访问.

微软写道：“这一公开披露升级了我们的行动，使我们的团队能够在行动中进行干预和打断，从而限制了更广泛的影响。” “观察到的活动不涉及客户代码或数据。我们的调查发现一个帐户已被盗用，授予有限访问权限。微软不依赖代码保密作为安全措施，查看源代码不会导致风险升高。”

身份验证服务提供商Okta周三(23日)将Sitel列为与该公司在1月下旬经历的一起安全事件有关的第三方，该事件使得LAPSUS$ 勒索团伙远程接管属于客户支持工程师的内部帐户。OKTA补充说，366 家企业客户，约占其客户群的2.5%，可能受到“高度受限”入侵的影响。

“2022年1月20 日，Okta安全团队收到警报，一个新因素被添加到Sitel客户支持工程师的Okta帐户中[从一个新位置]，”Okta的首席安全官大卫布拉德伯里在一份声明中说。“这个因素是口令。”

本周早些时候，LAPSUS$发布了Okta应用程序和系统的屏幕截图。大约两个月前，黑客在2022年1月16日至 21日之间的五天内使用远程桌面协议 ( RDP )访问了该公司的内部网络。直到检测到MFA活动并且该帐户被暂停等待进一步调查。

LAPSUS$黑客组织是什么来头

LAPSUS$ 于2021年12月首次浮出水面，向巴西卫生部提出勒索要求，最近因发布与包括NVIDIA、三星和沃达丰在内的多家大公司相关的内部工具截图而成为头条新闻。彭博新闻报道了该组织有相关情况，但没有透露被指控的黑客的名字，他的在线别名是“White”和“breachbase”，他是未成年人，没有被执法部门公开指控有任何不当行为。

据调查人员称，Lapsus$的另一名成员被怀疑是居住在巴西的青少年。一名调查该组织的人士表示，安全研究人员已经确定了与该黑客组织相关的七个独特账户，这表明可能还有其他人参与了该组织的活动。

另一位参与研究的人说，这名青少年非常擅长黑客攻击——而且速度如此之快——以至于研究人员最初认为他们观察到的活动是自动化的。

Lapsus$组织曾公开嘲讽他们的受害者，泄露他们的源代码和内部文件。当Lapsus$透露它入侵Okta Inc.时，它使该公司陷入了公关危机。在多篇博文中，Okta披露第三方供应商的一名工程师遭到入侵，其2.5%的客户可能受到影响。

据三位调查黑客攻击的人说，Lapsus$甚至加入了他们所破坏的公司的Zoom电话，在那里他们嘲弄了试图清理黑客攻击的员工和顾问。气焰甚是嚣张！

微软本身证实它被Lapsus$入侵，在一篇博客文章中表示，攻击组织已经开始“针对多个组织进行大规模的社会工程和勒索活动”。该组织的主要作案手法是入侵公司，窃取他们的数据并要求赎金。微软将Lapsus$追踪为“DEV-0537”，并表示该组织已成功招募受害公司的内部人员以协助他们进行黑客攻击。

微软表示，众所周知，LAPSUS$以他们希望入侵的组织的员工的个人电子邮件帐户为目标，因为他们知道如今大多数员工都使用某种 VPN来远程访问其雇主的网络。“在某些情况下，[LAPSUS$]首先针对并破坏个人的个人或私人（非工作相关）帐户，让他们访问，然后寻找可用于访问公司系统的其他凭据，”微软写道。“鉴于员工通常使用这些个人帐户或号码作为他们的第二因素身份验证或密码恢复，该组织通常会使用这种访问来重置密码并完成帐户恢复操作。”微软表示，在其他情况下，有人看到LAPSUS$致电目标组织的服务台并试图说服支持人员重置特权帐户的凭据。

众所周知，LAPSUS$还可以通过部署“Redline”密码窃取恶意软件、在公共代码存储库中搜索暴露的密码以及从犯罪论坛购买凭据和会话令牌来访问受害者组织。

据两名研究人员称，该组织的运营安全性很差，这使得网络安全公司能够深入了解这些青少年黑客。

“与大多数不为人知的活动组织不同，DEV-0537似乎并没有掩盖它的踪迹，”微软在一篇博文中说。“他们甚至宣布对社交媒体的攻击或宣传他们从目标组织的员工那里购买凭证的意图。DEV-0537开始针对英国和南美的组织，但目前已扩展到全球目标，包括政府、技术、电信、媒体、零售和医疗保健部门的组织。”

这位英格兰青少年黑客的个人信息，包括他的地址和有关他父母的信息，已被竞争对手黑客发布在网上。在泄露材料中列出的一个地址，即牛津附近青少年的家中，一名自称是男孩母亲的妇女通过门铃对讲系统与彭博记者交谈了大约10分钟。这所房子是一栋朴素的梯田房屋，位于距离牛津大学约五英里的一条安静的小街上。这位女士说，她不知道针对她儿子的指控或泄露的材料。她说，她家和少年父亲家的视频和照片被公开，她感到不安。这位母亲说，这名少年住在那个地址，曾受到其他人的骚扰，但许多其他泄露的细节无法证实。

她拒绝以任何方式讨论她的儿子或让他接受采访，并说这个问题是执法部门的事情，她正在联系警方。

安全专家的说法

网络安全公司Check Point将LAPSUS$描述为“来自巴西的葡萄牙黑客组织”，微软称其为“独特的贸易技术组合”，包括通过SIM交换、未修补的服务器漏洞、暗网侦察和基于电话的网络钓鱼来瞄准受害者。然而，该组织的真正动机仍不清楚，即使它声称纯粹是出于经济动机。LAPSUS$与他们的追随者有很强的互动，甚至发布互动式民意调查，以确定他们下一个不幸的目标应该是谁。

网络安全专家布赖恩·克雷布斯 (Brian Krebs) 的最新消息称，去年7月，称其为网络别名“White”和“breachbase”的青少年黑客也可能参与了对游戏制造商美国艺电 (EA) 的入侵。报告详细介绍了绰号“Oklaqq”又名“WhiteDoxbin”的核心LAPSUS$成员的活动。布莱恩说，早在2021年5月，WhiteDoxbin的Telegram ID就被用来在基于Telegram 的服务上创建一个帐户，用于发起分布式拒绝服务 (DDoS) 攻击，他们将自己介绍为‘@breachbase’。去年EA被黑的消息首先由用户‘Breachbase’在英语黑客社区RaidForums上发布到地下网络犯罪分子，最近被FBI查获。

Unit 221的首席研究官Allison Nixon称，密切追踪涉及SIM交换的网络犯罪分子。Nixon与安全公司Palo Alto Networks的研究人员合作，在LAPSUS$成立之前一直在跟踪他们的个人成员，并表示该组织采用的社会工程技术长期以来一直被滥用以针对主要移动设备公司的员工和承包商。

在接受Motherboard采访时，黑客声称在从一个名为Genesis的暗网市场购买EA Slack频道的身份验证cookie后获得了对EA数据的访问权限。黑客表示，他们使用身份验证cookie来模仿已经登录的EA员工帐户并访问EA的Slack 频道，然后欺骗EA IT支持人员授予他们访问公司内部网络的权限。

2020年，WhiteDoxbin在 RaidForums上的Breachbase身份表示，他们有 10 万美元的比特币预算，用于购买Github、Gitlab、Twitter、Snapchat、Cisco VPN、Pulse VPN和其他远程访问或协作工具中的零日漏洞。

为什么尼克松确信LAPSUS$是EA攻击的幕后黑手？上面第一个内部招聘截图中提到的“WhiteDoxbin/Oklaqq”身份似乎是该组织的领导者，并且在多个Telegram频道中使用了多个昵称。但是，Telegram将一个帐户的所有别名集中到同一个Telegram ID号中。

据网络情报公司Flashpoint称，该组织的大部分受害者（其中15 人）都在拉丁美洲和葡萄牙。“LAPSUS$目前不运营明网或暗网泄密网站或传统社交媒体账户——它仅通过elegram和电子邮件运营。LAPSUS$似乎非常复杂，执行越来越引人注目的数据泄露事件。该组织声称它不是国家赞助的。该团队背后的个人可能经验丰富，并展示了深厚的技术知识和能力。

这名少年据称通过黑客攻击积累了1400万美元（1060 万英镑）的财富，已被竞争对手黑客和研究人员点名。

谋划更大的网络攻击

3月22日，在其声称对Okta进行了成功黑客攻击之后，Lapsus$表示它将花一些时间来攻击世界上最大的公司。“我们的一些成员休假到2022年3月30日。我们可能会安静一段时间，”黑客在其 Telegram频道中写道。“谢谢你理解我们。- 我们会尽快泄露信息。”

警方已实施逮捕行动

BBC当地时间24日晚些时候报道称，伦敦市警方表示，他们已经逮捕了七名与该团伙有关的青少年，但不会说领头的少年是否是其中之一。男孩的父亲告诉BBC，他的家人很担心，并试图让他远离电脑。在他的在线绰号“White”或“Breachbase”下，这位患有自闭症的少年据说是多产的Lapsus$黑客团队的幕后黑手，据信该团队位于南美。Lapsus$相对较新，但在成功入侵微软等大公司并在网上吹嘘之后，已成为最受关注和最害怕的黑客网络犯罪团伙之一。男孩的父亲告诉英国广播公司：“直到最近我才听说过这件事。他从来没有谈论过任何黑客行为，但他非常擅长电脑，并且在电脑上花费了很多时间。我一直以为他在玩游戏。”

此次，泰晤士河谷警察局和负责调查英国黑客行为的国家犯罪局没有立即回复有关涉嫌青少年黑客的消息。正在调查至少一起Lapsus$入侵事件的FBI旧金山外地办事处拒绝置评。

参考资源

1、https://www.bloomberg.com/news/articles/2022-03-23/teen-suspected-by-cyber-researchers-of-being-lapsus-mastermind

2、https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/

3、https://thehackernews.com/2022/03/researchers-trace-lapsus-cyber-attacks.html

4、https://www.bbc.com/news/technology-60864283

来源：网空闲话

自古黑客出少年--打脸微软和Okta的Lapsus$幕后主谋竟然是”千万巨富“的英国16岁自闭症少年？

相关阅读：

编辑推荐

热门文章