微软和 Okta 都承认他们的系统确实被 Lapsus$ 黑客组织渗透,但两家公司也表示网络攻击的影响是有限的。在Microsoft 安全博客上的一篇文章中,该技术人员透露,该组织使用一个受感染的帐户获得了对其系统的有限访问权限。
当黑客组织发布了一个包含被盗数据的种子时,它说该包包括 90% 的 Bing 源代码以及 45% 的 Cortana 和 Bing 地图代码。微软没有说明这些产品的代码是否确实被盗,但它解释说它“不依赖代码的保密性作为安全措施,查看源代码不会导致风险升高”。显然,该公司甚至在 Lapsus$ 宣布之前就已经在调查被盗账户。该组织的举动促使微软加快行动,使其能够在运营过程中打断坏人,从而限制其影响。
与此同时,Okta更新了其针对黑客攻击的旧帖子,并透露大约 2.5% 的客户可能已经查看了他们的数据或对其采取了行动。虽然该公司拥有数万客户,但它实际上支持“数亿用户”。 Okta 确认已经通过电子邮件直接联系了受影响的客户。
Okta 此前曾表示,它在一月份发现了一个为期五天的窗口,攻击者可以访问支持工程师的笔记本电脑。然而,它表示对 Okta 客户的潜在影响是有限的,因为支持工程师只能访问有限的数据。 Lapsus$ 声称该声明是谎言,因为它能够登录该公司约 95% 的客户的“能够重置密码和 MFA 的超级用户门户”。
除了公布调查结果外,微软还在其帖子中详细介绍了 Lapsus$ 的运作方式。该组织显然使用各种策略进入其目标系统,例如依靠社会工程和使用密码窃取程序。它还从地下论坛购买登录信息,甚至支付在目标组织工作的员工使用他们的凭据、批准 MFA 提示并在需要时在公司工作站上安装远程管理软件。有时,它还会执行 SIM 交换攻击以访问用户的电话号码,以便接收他们的双因素代码。
如果它一开始只获得对具有有限权限的人的帐户凭据的访问权限,它会探索公司的协作渠道,例如 Teams 和 Slack,或者利用漏洞为组织中更高级别的用户获取登录信息。微软表示,该组织首先针对加密货币账户,窃取钱包和资金。最终,它还针对南美乃至全球的电信公司、高等教育机构和政府组织。
来源: https://www.engadget.com/microsoft-okta-detail-lapsus-attacks-114008836.html?src=rss