Microsoft telah mengkonfirmasi bahwa itu dilanggar oleh grup peretasan Lapsus $.
Dalam posting blog pada hari Selasa – diterbitkan beberapa jam setelah Lapsus $ memposting file torrent yang berisi sebagian kode sumber dari Bing, Bing Maps dan Cortana – Microsoft mengungkapkan bahwa satu akun karyawan disusupi oleh grup peretasan, memberikan “akses terbatas” kepada penyerang. sistem Microsoft dan memungkinkan pencurian kode sumber perusahaan.
Microsoft menambahkan bahwa tidak ada kode atau data pelanggan yang disusupi.
“Tim respons keamanan siber kami dengan cepat terlibat untuk memulihkan akun yang disusupi dan mencegah aktivitas lebih lanjut,” kata Microsoft. “Microsoft tidak mengandalkan kerahasiaan kode sebagai ukuran keamanan dan melihat kode sumber tidak menyebabkan peningkatan risiko. Tim kami sudah menyelidiki akun yang disusupi berdasarkan intelijen ancaman ketika aktor tersebut secara terbuka mengungkapkan intrusi mereka. Pengungkapan publik ini meningkatkan tindakan kami yang memungkinkan tim kami untuk campur tangan dan menghentikan operasi aktor, membatasi dampak yang lebih luas.
Microsoft belum membagikan perincian lebih lanjut tentang bagaimana akun itu dikompromikan tetapi memberikan gambaran umum tentang taktik, teknik, dan prosedur grup Lapsus $, yang telah diamati oleh Pusat Intelijen Ancaman perusahaan, yang dikenal sebagai MSTIC, di berbagai serangan. Awalnya, serangan ini menargetkan organisasi di Amerika Selatan dan Inggris, meskipun Lapsus$ telah meluas ke target global, termasuk pemerintah dan perusahaan di sektor teknologi, telekomunikasi, media, ritel, dan kesehatan.
Grup, yang dilacak oleh raksasa teknologi sebagai DEV-0537, beroperasi dengan “model pemerasan dan penghancuran murni” dan, tidak seperti grup peretasan lainnya, “tampaknya tidak menutupi jejaknya,” menurut Microsoft, kemungkinan mengangguk ke perekrutan publik orang dalam perusahaan oleh grup untuk membantunya melakukan serangan yang ditargetkan. Grup menggunakan sejumlah metode untuk mendapatkan akses awal ke organisasi, yang biasanya berfokus pada mengorbankan identitas dan akun pengguna. Selain perekrutan karyawan di organisasi yang ditargetkan, ini termasuk pembelian kredensial dari forum web gelap, mencari repositori publik untuk kredensial yang terbuka, dan menerapkan pencuri kata sandi Redline.
Lapsus$ kemudian menggunakan kredensial yang disusupi untuk mengakses perangkat dan sistem perusahaan yang terhubung ke internet, seperti jaringan pribadi virtual, infrastruktur desktop jarak jauh, atau layanan manajemen identitas, seperti Okta, yang berhasil dilanggar oleh grup peretasan pada bulan Januari. Microsoft mengatakan bahwa setidaknya dalam satu kompromi, Lapsus $ melakukan serangan pertukaran SIM untuk mendapatkan kendali atas nomor telepon dan pesan teks karyawan untuk mendapatkan akses ke kode otentikasi multi-faktor (MFA) yang diperlukan untuk masuk ke suatu organisasi.
Setelah mendapatkan akses ke jaringan, Lapsus kemudian menggunakan alat yang tersedia secara publik untuk menjelajahi akun pengguna organisasi guna menemukan karyawan yang memiliki hak istimewa lebih tinggi atau akses lebih luas, lalu menargetkan platform pengembangan dan kolaborasi, seperti Jira, Slack, dan Microsoft Teams, di mana kredensial lebih lanjut dicuri. Grup peretasan juga menggunakan kredensial ini untuk mendapatkan akses ke repositori kode sumber di GitLab, GitHub, dan Azure DevOps, seperti yang terjadi pada serangan terhadap Microsoft.
“Dalam beberapa kasus, DEV-0537 bahkan menghubungi meja bantuan organisasi dan berusaha meyakinkan personel pendukung untuk mereset kredensial akun istimewa,” tambah Microsoft. “Grup tersebut menggunakan informasi yang dikumpulkan sebelumnya (misalnya, gambar profil) dan meminta penelepon yang terdengar asli Inggris berbicara dengan petugas meja bantuan untuk meningkatkan daya pikat rekayasa sosial mereka.”
Geng Lapsus$ menyiapkan infrastruktur khusus di penyedia server pribadi virtual (VPS) yang dikenal dan memanfaatkan layanan jaringan pribadi virtual konsumen NordVPN untuk mengekstraksi data — bahkan menggunakan server VPN lokal yang secara geografis dekat dengan target mereka untuk menghindari memicu alat deteksi jaringan. Data yang dicuri kemudian digunakan untuk pemerasan di masa mendatang atau dirilis untuk umum.
Grup peretasan Lapsus$ telah terkenal selama beberapa minggu terakhir, mengkompromikan sejumlah perusahaan terkemuka, termasuk Nvidia dan Samsung. Awal pekan ini, korban terbarunya terungkap sebagai Okta setelah geng tersebut memposting tangkapan layar dari sistem internal raksasa identitas tersebut. Okta mengkonfirmasi pelanggaran tersebut, yang dikatakan sebagai hasil dari kompromi Lapsus $ terhadap insinyur dukungan pelanggan pihak ketiga dan mengatakan hal itu berdampak pada sekitar 2,5% dari 15.000 pelanggannya.
Saat ini tidak jelas mengapa Okta tidak memberi tahu pelanggannya tentang kompromi tersebut, yang terjadi selama jendela lima hari di bulan Januari, hingga sekarang.
Baca selengkapnya:
