ABD hükümeti basit teknikleri analiz ettikten sonra bir rapor yayınladı, ör. Lapsus $ gasp grubu tarafından güçlü bir güvenlik duruşuna sahip düzinelerce kuruluşu ihlal etmek için kullanılan SIM Swapping.
Grubun operasyonlarının gözden geçirilmesi, iddia edilen kurbanlardan özel verileri sızdırdıktan sonra Lapsus $ 'a atfedilen veya Lapsus $ tarafından talep edilen uzun bir olay izlenmesinin ardından geçen yıl Aralık ayında başladı.
Lapsus $ 'dan etkilenen yüksek profilli şirketler arasında Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Uber, Vodafone, Ubisoft ve Globant var.
LAPSUS $, 2021 ve 2022 yılları arasında şenlik, finansal kazanç veya eğlence için hareket eden İngiltere ve Brezilya'daki üyelerle birlikte, çoğunlukla gençlerden oluşan gevşek organize edilmiş bir grup olarak tanımlanmaktadır. Bununla birlikte, çeşitli karmaşıklık tekniklerini “yaratıcılık parlamaları” ile de birleştirdiler.
İç Güvenlik Bakanlığı (DHS) Siber Güvenlik İnceleme Kurulu (CSRB) analizini tamamladı ve sektör için öneriler de içeren bir raporda grubun taktiklerini ve tekniklerini açıklıyor.
“Lapsus $, siber altyapımızda gelecekteki saldırılara karşı savunmasız olabilecek zayıf noktaları ortaya çıkaran ve diğer tehdit aktörleri için iyi bilinen ve mevcut düşük maliyetli teknikler kullandı”-İç Güvenlik Bölümü Siber Güvenlik İnceleme Kurulu.
Grup, bir hedef şirketin dahili ağına erişmek ve kaynak kodu, tescilli teknoloji hakkında ayrıntılar veya iş ve müşteri ile ilgili belgeler gibi gizli bilgileri çalmak için SIM Swapping'i kullandı.
SIM-Swinging saldırısında, tehdit oyuncusu kurbanın telefon numarasını saldırganın sahip olduğu bir SIM karta taşıyarak çalıyor. Hile, sosyal mühendisliğe veya kurbanın mobil taşıyıcısında bir içeriden güveniyor.
Mağdurun telefon numarası üzerinde kontrol ile saldırgan, çeşitli kurumsal hizmetlere giriş yapmak veya kurumsal ağları ihlal etmek için gereken iki faktörlü kimlik doğrulama (2FA) için SMS tabanlı geçici kodlar alabilir.
Lapsus $ durumunda, hileli SIM swaplarından bazıları, çalışanlara ve yüklenicilere ait hesapları kaçırdıktan sonra doğrudan telekomünikasyon sağlayıcısının müşteri yönetimi araçlarından gerçekleştirildi.
Kurbanları (isim, telefon numarası, müşteri tescilli ağ bilgileri) hakkında gizli bilgiler elde etmek için, grup üyeleri bazen hileli acil durum ifşa talepleri (EDR) kullanmıştır.
Bir saldırgan, kolluk kuvvetleri gibi meşru bir talepçiyi taklit ederek veya talebe resmi logolar uygulayarak sahte bir EDR oluşturabilir.
Lapsus $, kimlik bilgileri elde etmek, çok faktörlü kimlik doğrulama (MFA) isteklerini onaylamak veya tehdit oyuncusuna yardımcı olmak için dahili erişimi kullanmak için hedeflenen şirketler, çalışanlar veya yüklenicilerdeki içeriden gelenlere de güveniyordu.
“Hileli SIM swaplarını yürüttükten sonra Lapsus $, SMS veya Sesli çağrılar yoluyla bir kerelik bağlantılar veya MFA pasodları gönderen oturum açma ve hesap kurtarma iş akışları yoluyla çevrimiçi hesapları devraldı”-İç Güvenlik Siber Güvenlik İnceleme Kurulu.
Bir durumda, Lapsus $, FBI ve Savunma Bakanlığı personeline bağlı cep telefonu hesaplarından ödün vermeye çalışmak için bir telco sağlayıcısına yetkisiz erişimlerini kullandı.
Bu hesaplar için uygulanan ekstra güvenlik nedeniyle girişim başarısız oldu.
Araştırma sırasında, CSRB’nin bulguları, grup bir telekomünikasyon sağlayıcısının platformuna erişmek ve SIM swaplarını gerçekleştirmek için haftada 20.000 dolar ödedi.
FBI, çaldıkları verileri satan Lapsus $ 'ın farkında olmasa da, gruba fidye ödeyen kurbanların kanıtını bulsa da, bazı güvenlik uzmanlarının “bazı ödeme yapan fidye ile Lapsus $ zorlayıcı kuruluşları gözlemlediğini” söylüyor.
CSRB’nin bulgularına göre grup, Microsoft Active Directory'deki kurban ağındaki ayrıcalıklarını artırmak için açılmamış güvenlik açıklarından da yararlandı.
LAPSUS $ 'lık Active Directory güvenlik sorunlarının saldırılarının% 60'ına kadar kaldırıldığı ve grup üyelerinin bir ağın içinde hareket etme teknik becerilerine sahip olduklarını gösterdiği tahmin edilmektedir.
Lapsus $ etkinlik, hız, yaratıcılık ve cesurluk ile karakterize edilirken, grup saldırılarında her zaman başarılı değildi. Uygulama veya jeton tabanlı çok faktörlü kimlik doğrulama (MFA) uygulayan ortamlarda başarısız oldu.
Ayrıca, sağlam ağ saldırısı algılama sistemleri ve şüpheli hesap aktivitesinin işaretlenmesi LAPSUS $ saldırılarını önledi. Raporda, olay müdahale prosedürlerinin izlendiği yerlerde etkinin “önemli ölçüde hafifletildiğini” söylüyor.
Güvenlik araştırmacılarına ve uzmanlara yıllarca SMS tabanlı kimlik doğrulamasının güvensiz olarak kullanıldığına rağmen, DHS'nin Siber Güvenlik İnceleme Kurulu, Lapsus $ veya benzer taktikleri kullanan diğer gruplardan gelen saldırıların “çoğu kuruluşun önlenmeye hazır olmadığını” vurgulamaktadır.
Kurulun diğer aktörlerin dahili bir ağa yetkisiz erişim kazanmasını önleme önerileri şunlardır:
Lapsus $ Eylül 2022'den bu yana sessiz düştü, muhtemelen grubun birkaç üyesinin tutuklanmasına yol açan kolluk soruşturmaları nedeniyle.
Geçen yıl Mart ayında, Londra Şehri polisi Lapsus $ ile bağlantılı yedi kişinin tutuklandığını duyurdu. Birkaç gün sonra, 1 Nisan'da, 16 yaşında ve 17 yaşında bir çocuk daha yakalandı.
Ekim ayında, Dark Cloud Operasyonu sırasında, Brezilya federal polisi, ülkenin Sağlık Bakanlığı sistemlerini ihlal ettiği için Lapsus $ gasp grubunun bir parçası olduğundan şüphelenilen bir kişiyi tutukladı.
Estée Lauder güzellik devi iki fidye yazılımı çetesi tarafından ihlal edildi
Clop Gang, Moveit gasp saldırılarından 75 milyon doların üzerinde kazanacak
TSMC, fidye yazılımı çetesi 70 milyon dolar talep ederken Lockbit Hack'i reddediyor
Manchester Üniversitesi son siber saldırıda veri hırsızlığını onayladı
Hackers Warn Manchester Üniversitesi Öğrencileri Yakın Veri Sızıntısı
Kaynak: Bleeping Computer