Microsoft thừa nhận bị nhóm hacker tống tiền Lapsus $ đánh cắp 37GB mã nguồn nhiều dự án

Đêm qua, nhóm hacker Lapsus $ (còn gọi là DEV-0537) đã phát tán 37GB mã nguồn đánh cắp được từ máy chủ Azure DevOps của Microsoft. Mã nguồn dành cho các dự án nội bộ khác nhau của Microsoft, bao gồm cả Bing, Cortana và Bing Maps.

Sau đó, Lapsus $ tiếp tục công khai file torrent cho phép tải về 9GB dữ liệu đã được nén. Lapsus $ khẳng định số dữ liệu này bao gồm mã nguồn của 250 dự án thuộc Microsoft, như 90% mã nguồn của công cụ tìm kiếm Bing, 45% mã nguồn Bing Maps và trợ lý ảo Cortana.

Theo chuyên trang bảo mật Bleeping Computer, sau khi giải nén file, họ đã thu được 37 GB dữ liệu. Một số chuyên gia bảo mật cũng xác nhận đây thực sự là mã nguồn các dự án của Microsoft.

"Các dự án này thuộc lĩnh vực hạ tầng trên nền web, website và ứng dụng di động, nhưng không có mã nguồn của các phần mềm máy tính Microsoft như Windows, Windows Server hay Office", Bleeping Computer viết.

Trong bài viết vừa trên blog, Microsoft đã xác nhận rằng một trong những tài khoảnnhân viên của họ đã bị xâm nhập bởi Lapsus $, cung cấp quyền truy cập hạn chế vào kho mã nguồn.

"Không có mã khách hàng hoặc dữ liệu nào liên quan đến các hoạt động quan sát được. Cuộc điều tra của chúng tôi đã phát hiện thấy một tài khoản duy nhất bị xâm phạm, cấp quyền truy cập hạn chế. Các nhóm phản hồi an ninh mạng của chúng tôi đã nhanh chóng tham gia để khắc phục tài khoản bị xâm phạm và ngăn chặn hoạt động tiếp theo.

Microsoft không dựa vào tính bí mật của mã như một biện pháp bảo mật và việc xem mã nguồn không dẫn đến tăng rủi ro. Nhóm của chúng tôi đã điều tra tài khoản bị xâm nhập dựa trên thông tin tình báo về mối đe dọa khi hacker công khai sự xâm nhập của họ. Việc tiết lộ công khai này khiến chúng tôi đẩy mạnh hành động, cho phép nhóm của chúng tôi can thiệp và làm gián đoạn hoạt động của hacker, hạn chế tác động rộng hơn", Microsoft giải thích trong bài viết về các tác nhân đe dọa Lapsus $.

Dù chưa chia sẻ cách tài khoản bị xâm nhập, Microsoft đã cung cấp một cái nhìn tổng thể về các kỹ thuật-chiến thuật-chiến lược (TTPs) của Lapsus $ đã quan sát được qua nhiều cuộc tấn công.

Microsoft thừa nhận bị nhóm hacker Lapsus $ tấn công

Tập trung vào thông tin đăng nhập bị xâm phạm

Microsoft đang theo dõi nhóm tống tiền Lapsus $ và cho biết họ chủ yếu tập trung vào việc lấy thông tin đăng nhập bị xâm phạm để truy cập vào các mạng công ty.

Sau khi có được, Laspsus $ sử dụng nó để đăng nhập vào các thiết bị và hệ thống công khai của công ty, bao gồm VPN, cơ sở hạ tầng máy tính ảo hoặc các dịch vụ quản lý danh tính, chẳng hạn như công ty quản lý danh tính và quyền truy cập Okta (Mỹ) mà họ xâm phạm vào tháng 1.2022.

Microsoft cho biết Laspsus $ sử dụng các cuộc tấn công phát lại phiên với các tài khoản sử dụng MFA (xác thực đa yếu tố) hoặc liên tục kích hoạt thông báo MFA cho đến khi người dùng cảm thấy mệt mỏi và xác nhận cho phép đăng nhập.

Theo Microsoft, Lapsus $ từng thực hiện một cuộc tấn công hoán đổi SIM để giành quyền kiểm soát số điện thoại và tin nhắn SMS của người dùng để có quyền truy cập vào mã MFA cần thiết để đăng nhập vào tài khoản.

Khi có quyền truy cập vào mạng, các tác nhân đe dọa sử dụng AD Explorer để tìm các tài khoản có đặc quyền cao hơn, sau đó nhắm mục tiêu các nền tảng phát triển và cộng tác, chẳng hạn SharePoint, Confluence, JIRA, Slack và Microsoft Teams, nơi các thông tin đăng nhập khác bị đánh cắp.

Nhóm tấn công cũng sử dụng các thông tin xác thực này để có quyền truy cập vào các kho mã nguồn trên GitLab, GitHub và Azure DevOps, như với Microsoft.

"DEV-0537 cũng được biết là khai thác các lỗ hổng trong ứng dụng Confluence, JIRA và GitLab để nâng cấp đặc quyền. Nhóm đã xâm phạm các máy chủ đang chạy các ứng dụng này để lấy thông tin đăng nhập của tài khoản đặc quyền hoặc chạy trong ngữ cảnh của tài khoản đã nói và kết xuất thông tin đăng nhập từ đó", Microsoft giải thích trong báo cáo.

Các tác nhân đe dọa sẽ thu thập dữ liệu có giá trị và trích xuất dữ liệu đó qua các kết nối NordVPN để ẩn vị trí của chúng, trong khi thực hiện các cuộc tấn công phá hoại vào cơ sở hạ tầng của nạn nhân để kích hoạt các quy trình ứng phó sự cố.

Tiếp đến, các tác nhân đe dọa giám sát các quy trình này thông qua các kênh Slack hoặc Microsoft Teams của nạn nhân.

Microsoft khuyến nghị các tổ chức doanh nghiệp thực hiện các bước sau để bảo vệ khỏi các tác nhân đe dọa như Lapsus $:

Tăng cường triển khai MFA.

Yêu cầu Endpoint lành mạnh và đáng tin cậy.

Endpoint được định nghĩa là một thiết bị máy tính từ xa có khả năng giao tiếp nhờ vào mạng lưới mà nó được kết nối.

Tận dụng các tùy chọn xác thực hiện đại cho VPN.

Tăng cường và giám sát tình hình bảo mật đám mây của bạn.

Nâng cao nhận thức về các cuộc tấn công kỹ thuật xã hội.

Thiết lập các quy trình bảo mật hoạt động để đối phó với sự xâm nhập của DEV-0537.

Lapsus $ gần đây thực hiện nhiều cuộc tấn công các doanh nghiệp, bao gồm cả NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre và bây giờ là Microsoft.

Do đó, các quản trị viên mạng và bảo mật nên làm quen với các chiến thuật được nhóm này sử dụng bằng cách đọc báo cáo của Microsoft.

Sơn Vân