2021 年年末,黑客世界横空杀出一支队伍,入侵巴西卫生部成功”出道”,此后短短四个月内,疯狂开展网络攻击活动,英伟达、三星、沃达丰,育碧、微软等十八家行业巨头相继沦陷。一时间,人人自危,LAPSUS$ 一跃成为 2022 年最猖狂、最令人闻风丧胆的黑客组织。
直到英国警方宣布逮捕了七名青少年成员,LAPSUS$ 黑客组织的神秘面纱才终于揭开。
短短几月,连破“十八城”
2022 年 3 月是 LAPSUS$ 黑客组织最癫狂的一段时间,先是小试牛刀轻松攻破英伟达网络安全防线,又马不停蹄窃取三星 190 GB 数据,之后更是“连斩”育碧、微软和 OKTA 等十几家行业巨头,彻底奠定了其在黑客圈的地位。
首战芯片巨头英伟达,小试牛刀
自 2021 年 12 月入侵巴西卫生部,LAPSUS$ 短暂沉寂一段时间,几个月后,突然黑进英伟达内部网络系统,逼得芯片巨头被迫宣布遭到了严重网络攻击,部分系统瘫痪。正当业界普遍讨论哪个老派黑客组织会站出来为此负责时,LAPSUS$ 火速宣称对攻击事件负责,表示从英伟达窃取了 1 TB 的数据,其中包括所有英伟达员工的在线凭证,并发布了英伟达驱动程序源代码。
此次网络攻击事件中出现了非常戏剧化一幕,意识到遭受网络攻击后,英伟达曾试图通过加密被盗数据反入侵 LAPSUS$ 的服务器,终归是 LAPSUS$ 技高一筹,在虚拟机环境中提前复制了一份数据,英伟达的反击措施并没有奏效。
正当所有人都感觉攻击事件结束时,Lapsus$ 提出一项新要求,英伟达必须在美国时间 3 月 4 日 结束前,完全开源 Windows、macOS、Linux 系统的 GPU 驱动,否则就把机密数据公之于众。
次战三星电子,韩国巨头泄露大量数据
积累了攻击英伟达成功经验,丰富武器库后,LAPSUS$ 变得更加肆无忌惮,将下一个攻击目标指向了三星电子。
2022 年 3 月上旬,LAPSUS$ 突然将矛头对准韩国三星电子,快速突破其外部网络防御后,窃取 190GB 数据信息,其中可能包含 TrustZone 环境中安装程序源代码、生物特征解锁操作的算法、最新三星设备的引导加载程序源代码、高通的机密源代码等在内的三星电子核心技术。
随后,LAPSUS$ 将窃取的数据拆分成三个压缩文件,在其泄密平台开通对外下载渠道,并表示会部署更多服务器,以方便更多人下载。
面对媒体铺天盖地的宣传,三星电子最终发布声明证实了数据泄露事件,但一再否认数据泄漏会影响客户或员工,仅仅涉及一些 Galaxy 设备操作相关的源代码。
微软沦陷,LAPSUS$ 恶名远播
连续突破几个知名企业网络安全防线,LAPSUS$ 的野心再也无法阻挡。微软作为行业领头羊,财大气粗,一直是黑客组织眼里的“香饽饽”,攻破微软,名利双收,LAPSUS$ 又岂能放过这个潜在猎物。
2022 年 3 月 20 日,LAPSUS$ 黑客组织利用微软内部一名员工获得对源码存储库有限访问权限后,迅速进入内部网络,成功窃取了 Azure DevOps 服务器 37GB 数据,并公布了一张源代码存储库的截图。次日,发布了一份包含微软 250 多个项目源代码的压缩包文件。
这个未压缩的存档文件大约 37GB。Lapsus$ 表示其包含了 90% 的 Bing 源代码,大约 45%的 Bing Maps 和 Cortana 代码。更糟糕的是,LAPSUS$ 还公布了盗取的数据,据悉这些源代码主要适用于各种 Bing、Contana 和 Bing 地图等 Microsoft 内部项目。
针对攻击事件,微软方面发现入侵行为后,安全专家根据被入侵账户,迅速做出应对,干扰攻击者进一步操作,试图阻止事态进一步扩大。最后,微软表示黑客是如何成功入侵员工账户,暂时不能定论。
LAPSUS$ 像打了鸡血一般,不知疲倦进行网络攻击,从巴西卫生部到英伟达,从三星到微软,LAPSUS$ 已成为近些年作案频率最高的黑客组织。在这些事件之前,加上巴西邮政局、电信运营商 Claro、南美最大汽车租赁公司 Localiza、国际电信巨头沃达丰、巴西电子商务巨头 Submarino、Americanas 等十数个组织机构成了 LAPSUS$ 的刀下亡魂。
LAPSUS$ 成员被捕,主谋疑似青少年
LAPSUS$ 的疯狂行为未能延续多久就遇到了危机。随着部分成员被捕,年轻的 LAPSUS$ 也揭开了神秘面纱。
2022 年 3 月下旬,伦敦警方宣布逮捕了 7 名青少年,他们涉嫌与曾入侵三星、英伟达、育碧和微软等知名企业的 LAPSUS$ 组织有关。
据警方透露,七名青少年中,一名患有自闭症的十六岁青年被指控是 LAPSUS$ 黑客组织主谋之一。自闭症少年使用名为 White”、“Breachbase”的 ID 名称纵横网络江湖,之所以被捕,除了猖狂以外(不掩饰自己的网络踪迹),可能是与内部人员发生了矛盾。随后,马甲“White”在一家黑客网站被曝光,未知黑客泄露了其姓名、地址和社交媒体照片等详细资料信息,并透露他通过黑客活动获取了约 1400 万美元。
对于少年被捕一事,其父亲一时难以接受,一再向警察表示,虽然孩子平时会花很多时间玩电脑,但从未在家里谈论过黑客活动,家人还一直以为他玩游戏,中间还阻止使用电脑。
自闭症少年落网很难避免,从 Unit 221B 首席研究员埃里森·尼克松透漏的信息来看,安全研究人员已经追踪“White”近一年时间,其资料在黑客网站曝光之前就已掌握了具体姓名、住址等信息。经过详细分析将其与 LAPSUS$ 和其他黑客活动联系在一起后,开始与信息安全公司 Palo Alto 合作,监视网络活动,定期向司法部门汇报。最终,根据这些线索伦敦警方实施了抓捕行动。
”常在河边走,哪有不湿鞋“,犯案累累的 LAPSUS$ 最终被捕并不意外,但组织成员如此年轻,还是难免引起对黑客趋于年轻化的讨论。随着网络技术在社会运作中扮演角色加重,许多家长开始在儿童时期培养孩子的编程能力,在接触了大量知识后,部分少年产生浓厚兴趣,致力于研究网络技术,长此以往,黑客逐渐年轻化不足为怪。
不同于其它黑客组织专挑”软柿子”捏,LAPSUS$ 锁定的攻击目标都是国际知名企业,这些企业会设置严密防护手段,如何攻破复杂的网络安全防线成为了业界关心的问题。
起底 LAPSUS$ 惯用的攻击手段
工欲善其事,必先利其器,DDoS 攻击、注入攻击、暴力破解攻击和网络钓鱼等是黑客组织惯用攻击方式。LAPSUS$ 能够在短短几个月内,接连打穿十几家知名企业的网络安全防御体系,必定有其独特的攻击手法。
微软在科技行业称霸已久,岂能忍受被 LAPSUS$ 当众打脸的屈辱,遭受网络攻击后,迅速成立联合专家组,开展全面调查分析,最终揭露了该黑客组织可能使用的几种攻击手法。
常规操作:部署恶意软件 Redline,窃取目标企业员工登陆凭证
与其它黑客组织类似,LAPSUS$ 惯用伎俩同样是尝试安装恶意软件,窃取目标用户数据信息,其作案过程中,在数个目标企业员工办公设备中安装了 RedLine 恶意软件,一旦得手,可轻松访问用户的邮箱、银行账户等敏感信息。(RedLine 是一款黑客常用的勒索软件,能够从基于 Gecko 和 Chromium 的 Web 浏览器中收集用户登陆凭证、cookie 等详细数据。)
善用资源:拉网式排查公共代码存储库中的用户凭证信息
LAPSUS$ 能够短时间突破多家知名企业离不开善用公共资源,利用公共代码存储库中已泄露的登录凭证或会话令牌,访问了大量暴露在互联网中的网络系统。
值得一提的是,为应对部分企业使用了 MFA 安全防护,LAPSUS$ 使用会话令牌重放攻击和被盗密码触发MFA 简单的许可提示两种技术,逃避目标企业发现攻击活动;
金钱开道:直接贿赂目标企业员工
为轻松突破目标企业安全防御体系, LAPSUS$ 绞尽脑汁提出一种创新型方法,针对目标企业,在论坛或者社交软件 Telegram 上,用各国语言广发“英雄贴”,试图招募目标企业员工献出其内部登录凭证。不仅如此,更是要求内鬼在公司设备上安装 anydesk 等远程管理软件;
暗网市场:从暗网等地下犯罪论坛购买密码和会话令牌
LAPSUS$ 在暗网市场搜寻潜在目标的凭证或者入侵点(漏洞),之后利用目标用户 JIRA、Gitlab 和Confluence 等可访问的服务器未修补漏洞,开展攻击活动。
现阶段,暗网市场早已形成规模,潜在网络攻击者可以在网络黑市上获取其它黑客组织窃取的数据信息,这种方式也是黑客组织常用的手段之一;
偷梁换柱:贿赂运营商员工更换 SIM卡
微软调查过程中,发现 LAPSUS$ 采用了 SIM 卡调换这种欺骗性手段,通过贿赂或欺骗电信运营商员工,将受害者手机号码移植到其使用的设备上。通过这种方式,LAPSUS$ 可以拦截发送给受害者的验证码,此外,还可以通过短信重置受害者的线上登陆凭证。
以上列举的一些攻击手段并非罕见,但第三点绝对是 LAPSUS$ 独创,与其它黑客组织遮遮掩掩不同,LAPSUS$ 特别喜欢宣传自己,经常在社交媒体对外购买攻击目标企业员工的登录凭证。
(LAPSUS$ 在 Telegram 上发布的招聘启事。图片来源:krebsonsecurity)
这种方式听起来匪夷所思,将社会工程学运用到了极致。LAPSUS$ 在招聘广告中表示,电信运营商类公司或者 Microsoft、Apple、IBM 等企业员工若是能够提供 VPN、Citrix、Anydesk 权限,将会支付高达 2 万美金的周薪。如此高的佣金,难免会有人心动。
LAPSUS$ 将社会工程、系统漏洞和恶意软件等攻击手段灵活结合,进行大量攻击活动,最终奠定了自身在黑客行业的地位,其中善用社会工程更是很难被发现,可以快速、准确获得登陆凭证,悄无声息进入目标企业内部网络窃取数据 ,威胁受害者支付赎金。LAPSUS$ 如此疯狂开展网络攻击,业内人人自危,都担心可能成为下一个攻击目标。
写在最后
2021 年,LAPSUS$ 黑客组织横空出世,从入侵巴西卫生部崭露头角,到相继攻陷三星,微软、英伟达等企业名声大振。短短几个月时间,从黑客世界一个名不见经传的“小人物”,最终稳压 Conti、匿名者、 Lazarus 等黑客组织,年轻的 LAPSUS$ 已成为了黑客圈当之无愧的“大人物”,无人能出其右。
网络世界中必定还有许多类似 LAPSUS$ 的年轻黑客组织隐藏在暗处,疯狂作案。这种现象不难解释,目前年轻群体接触和学习计算机知识的相对容易,也能够快速掌握“黑客”技术,新生代白帽黑客群体逐渐年轻化也早已经成为行业共识。根据《 2021 中国白帽子调查报告》显示,18-25 岁的白帽黑客已成为了行业主力军,占据了65% 份额,17岁以下的白帽占比也接近 4%。
二十世纪以来,互联网技术快速腾飞,早已深深根植于社会生产各个环节中,不仅推动了企业数字化转型助力经济发展,还促进全球上下游供应链的快速融合,但与此同时,数据泄漏,勒索软件、网络攻击和安全漏洞等网络安全问题也日益凸显。特别是近些年,黑客组织逐渐趋向于年轻化、专业化、组织化、结构化和规模化,更多年轻、疯狂的LAPSUS$ 黑客组织,可能正隐藏在暗处,伺机而动。