18家巨头接连被黑，微软、三星、英伟达中过招，黑客组织Lapsus$到底多可怕【微微一讲】

| 本文共 3413 字，阅读预计 8 分钟 |

接二连三的得手已经无法满足他们的贪婪，从今年3月开始，Lapsus$谋划实施了一系列针对大型知名国际公司的勒索攻击。

2022年3月7日，Lapsus$在Telegram上发布了一个投票，主题为“下一个搞谁”：

Lapsus$就泄露的企业名称进行投票

令人没想到的是，他们是认真的。在投票发起的第二天，选项3提到的阿根廷电商巨头美客多，拉美版eBay，确认有部分源代码及大约30万用户数据泄露。

3月对Lapsus$是个疯狂的月份，仅仅12天内，他们就进行了4次勒索攻击，除去美客多外，受害对象分别是：

• 芯片制造商英伟达（NVIDIA）——涉及NVIDIA GPU驱动程序组件（即包括Falcon和LHR）信息的20G数据被泄露。Lapsus$在Telegram上宣布对攻击负责，并要求英伟达做出回应，否则公开已盗取数据，而英伟达的回应则是黑了Lapsus$使用的VM，但这并未能阻止数据的进一步泄露；
• 三星（Sumsung）——三星设备源代码、所有生物特征解锁操作的算法、最新三星设备的引导加载程序源代码、激活服务器源代码、账户的完整源代码以及据称来自高通的源代码等190G三星机密数据被公开泄露；

• 育碧（Ubisoft）——被攻击，导致游戏、系统、服务中断，全公司进行密码重置。

在3月21日晚，Lapsus$甚至对外公开了涉及微软内部Bing、Cortana和 Bing地图项目的37G源代码，第二天他们又公布了LG的员工及服务账户所有哈希转存截图，同时称LG基础设施Conflunce转存同样很快会发布。

Lapsus$发布的微软源代码泄漏截图

为什么他们能屡屡得手？来自美国知名身份管理工具OKTA的声明或许能提供只鳞片爪。

3月22日，Lapsus$发布了疑似超级用户/管理员权限访问OKTA客户数据的屏幕截图，时间为1月21日。当天稍晚，OTKA不得不更新了一篇关于Lapsus$攻击的声明，表示今年1月检测到一个第三方服务商的客户支持工程师账户出现异常，攻击者可访问该工程师的笔记本电脑，有2.5%（预计366家）的客户的数据处于危险境地。

Okta界面，截屏显示日期为2022年1月21日

3月最后一天，Lapsus$的最新攻击对象则是总部位于阿根廷的IT巨头、软件开发与IT服务公司Globant。该组织通过Telegram公开了Globant 70G的源代码，且其声称这些数据包括Globant的客户源代码及存储数据的服务器登录凭证等敏感信息。

而从英伟达的“打脸之战”来看，Lapsus$的技术能力并不像他们对外吹嘘的那样强劲。这群人不像训练有素的犯罪组织，此前更有该组织头目疑似16岁熊孩子的传闻。

与一般靠技术吃饭的勒索组织不同，Lapsus$主要将社会工程与目标企业内部人员价值发挥到最大，攻击成功后不会部署勒索软件，也因此很难被检出，更无法查杀，整体具有技术水平低、影响范围大的特点。

根据微软对该组织的分析，其主要关键攻击手段如下：

☞贿赂“内鬼”，用钱解决身份验证问题

☞SIM卡调换，越过安全检测

☞部署恶意软件Redline以窃取密码和会话令牌

☞公共代码库搜索已泄露账密及犯罪论坛购买凭证或会话令牌，访问受害企业

另外，Lapsus$还会利用已泄露在互联网中的登录账号密码或会话令牌，访问开放在互联网中的系统和应用，主要包括虚拟专用网络（VPN）、远程桌面协议(RDP)以及包括ctrix在内的虚拟桌面基础架构（VDI），甚至是Azure Active Directory、Okta等身份识别供应商系统。

☞利用内部可访问服务器的未修补漏洞提权

一旦通过失陷账户进入目标网络后，Lapsus$会利用多种策略发现更多的凭证或者入侵点，从而扩大其访问权限，主要包括利用JIRA、Gitlab 和Confluence等内部可访问的服务器上未修补漏洞，或者搜索代码存储库、协作平台，获取公开的更高特权的账户或是访问其他敏感信息。

• 借助安全工具，保证流量、终端等对最新未知恶意软件变体进行有效检测，定期梳理企业网络资产，减少企业暴露风险。对于国内的企业用户，可部署微步在线威胁感知平台TDP，有效识别企业暴露于互联网的端口、服务、应用等，进行及时管控，对Redline等多种窃密恶意软件也可进行检测，结合云端分析服务发现0Day、APT等威胁，经高强度对抗环境检验，TDP对0Day的检出率可达50%以上；
• 加强对基于云系统的访问策略，阻止典型用户的所有高风险登录及特权用户的所有中等风险登录；

• 确保第三方通用组件的漏洞安全，及时发现并进行漏洞修复。