自古黑客出少年--打脸微软和Okta的Lapsus$幕后主谋竟然是”千万巨富“的英国16岁自闭症少年?
网络安全研究人员调查了一系列针对微软、Okta、英伟达等科技公司的黑客攻击,他们将这些攻击追溯到住在英国牛津附近他母亲家中的一名16岁少年。代表被攻击公司调查黑客组织Lapsus$的四名研究人员表示,他们认为这名少年是主谋。Lapsus$已经让网络安全专家感到困惑,因为它已经实施了一系列备受瞩目的黑客攻击事件。攻击背后的动机尚不清楚,但一些网络安全研究人员表示,他们认为该组织的动机是金钱和名声。尽管研究人员怀疑这名少年是Lapsus$组织的幕后黑手,但他们无法最终将他与Lapsus$所声称的每一次攻击事件联系起来。研究人员使用来自黑客的网络证据以及公开可用的信息将这名少年与黑客组织Lapsus$联系起来。24日晚间BBC最新报道显示,伦敦警方已采取行动,抓捕了7名与该组织有关的青少年,但未透露是否这个绰号“White”的少年。综合来看,Lapsus$黑客组织有几个典型的特点,一是个人目标突破与超强的社会工程相结合;二是从地下黑客论坛或暗网购买目标的访问权限或零日漏洞;三是买通目标内部的关键人员形成里应外合。四是组织松散运营管理混乱,给安全调查创造了系列机会和线索。
Okta和Microsoft相继被攻陷
Okta和Microsoft的数据泄露事件是LAPSUS$组织发起的大规模渗透中的最新一起,该攻击组织还攻陷了Impresa、NVIDIA、三星、沃达丰和Ubisoft等知名企业。它还以在拥有超过 46,200名活跃成员的电报频道上公布其战果而闻名。
身份验证服务提供商Okta周三(23日)将Sitel列为与该公司在1月下旬经历的一起安全事件有关的第三方,该事件使得LAPSUS$ 勒索团伙远程接管属于客户支持工程师的内部帐户。OKTA补充说,366 家企业客户,约占其客户群的2.5%,可能受到“高度受限”入侵的影响。
“2022年1月20 日,Okta安全团队收到警报,一个新因素被添加到Sitel客户支持工程师的Okta帐户中[从一个新位置],”Okta的首席安全官大卫布拉德伯里在一份声明中说。“这个因素是口令。”
本周早些时候,LAPSUS$发布了Okta应用程序和系统的屏幕截图。大约两个月前,黑客在2022年1月16日至 21日之间的五天内使用远程桌面协议 ( RDP )访问了该公司的内部网络。直到检测到MFA活动并且该帐户被暂停等待进一步调查。
微软表示,众所周知,LAPSUS$以他们希望入侵的组织的员工的个人电子邮件帐户为目标,因为他们知道如今大多数员工都使用某种 VPN来远程访问其雇主的网络。“在某些情况下,[LAPSUS$]首先针对并破坏个人的个人或私人(非工作相关)帐户,让他们访问,然后寻找可用于访问公司系统的其他凭据,”微软写道。“鉴于员工通常使用这些个人帐户或号码作为他们的第二因素身份验证或密码恢复,该组织通常会使用这种访问来重置密码并完成帐户恢复操作。”微软表示,在其他情况下,有人看到LAPSUS$致电目标组织的服务台并试图说服支持人员重置特权帐户的凭据。
众所周知,LAPSUS$还可以通过部署“Redline”密码窃取恶意软件、在公共代码存储库中搜索暴露的密码以及从犯罪论坛购买凭据和会话令牌来访问受害者组织。
网络安全专家布赖恩·克雷布斯 (Brian Krebs) 的最新消息称,去年7月,称其为网络别名“White”和“breachbase”的青少年黑客也可能参与了对游戏制造商美国艺电 (EA) 的入侵。报告详细介绍了绰号“Oklaqq”又名“WhiteDoxbin”的核心LAPSUS$成员的活动。布莱恩说,早在2021年5月,WhiteDoxbin的Telegram ID就被用来在基于Telegram 的服务上创建一个帐户,用于发起分布式拒绝服务 (DDoS) 攻击,他们将自己介绍为‘@breachbase’。去年EA被黑的消息首先由用户‘Breachbase’在英语黑客社区RaidForums上发布到地下网络犯罪分子,最近被FBI查获。
Unit 221的首席研究官Allison Nixon称,密切追踪涉及SIM交换的网络犯罪分子。Nixon与安全公司Palo Alto Networks的研究人员合作,在LAPSUS$成立之前一直在跟踪他们的个人成员,并表示该组织采用的社会工程技术长期以来一直被滥用以针对主要移动设备公司的员工和承包商。
在接受Motherboard采访时,黑客声称在从一个名为Genesis的暗网市场购买EA Slack频道的身份验证cookie后获得了对EA数据的访问权限。黑客表示,他们使用身份验证cookie来模仿已经登录的EA员工帐户并访问EA的Slack 频道,然后欺骗EA IT支持人员授予他们访问公司内部网络的权限。
2020年,WhiteDoxbin在 RaidForums上的Breachbase身份表示,他们有 10 万美元的比特币预算,用于购买Github、Gitlab、Twitter、Snapchat、Cisco VPN、Pulse VPN和其他远程访问或协作工具中的零日漏洞。
为什么尼克松确信LAPSUS$是EA攻击的幕后黑手?上面第一个内部招聘截图中提到的“WhiteDoxbin/Oklaqq”身份似乎是该组织的领导者,并且在多个Telegram频道中使用了多个昵称。但是,Telegram将一个帐户的所有别名集中到同一个Telegram ID号中。
据网络情报公司Flashpoint称,该组织的大部分受害者(其中15 人)都在拉丁美洲和葡萄牙。“LAPSUS$目前不运营明网或暗网泄密网站或传统社交媒体账户——它仅通过elegram和电子邮件运营。LAPSUS$似乎非常复杂,执行越来越引人注目的数据泄露事件。该组织声称它不是国家赞助的。该团队背后的个人可能经验丰富,并展示了深厚的技术知识和能力。
这名少年据称通过黑客攻击积累了1400万美元(1060 万英镑)的财富,已被竞争对手黑客和研究人员点名。
来源:网空闲话
1、本站目前拥有近 1000+ 精品收费资源,现在加入VIP会员即可全部下载。
2、本资源部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
祺智-智库 » 自古黑客出少年--打脸微软和Okta的Lapsus$幕后主谋竟然是”千万巨富“的英国16岁自闭症少年?
发表评论