美国政府在分析了 Lapsus$ 勒索组织利用 SIM 交换等简单技术破坏数十个安全态势良好的组织后发布了一份报告。
去年12 月, 在 Lapsus$ 泄露了所谓受害者的专有数据后,发生了一系列归因于或由 Lapsus$ 声称的事件后,对该组织的运作进行了审查 。
受 Lapsus$ 影响的知名公司包括 微软、 思科、 Okta、 Nvidia、 T-Mobile、 三星、 Uber、 沃达丰、 育碧和 Globant。
Lapsus$ 被描述为一个组织松散的团体,主要由青少年组成,成员来自英国和巴西,他们在 2021 年至 2022 年间从事活动,目的是为了恶名、经济利益或娱乐。然而,他们还将各种复杂的技术与“创造力的闪光”结合起来。
美国国土安全部 (DHS) 网络安全审查委员会 (CSRB) 完成了分析,并在一份报告中描述了该组织的策略和技术,其中还包括对行业的建议。
“Lapsus$ 采用了其他威胁行为者众所周知且可用的低成本技术,揭示了我们网络基础设施中可能容易受到未来攻击的弱点”——国土安全部网络安全审查委员会。
该组织利用 SIM 卡交换来访问目标公司的内部网络,并窃取源代码、专有技术详细信息或业务和客户相关文档等机密信息。
在 SIM 交换攻击中,威胁行为者通过将受害者的电话号码移植到攻击者拥有的 SIM 卡来窃取受害者的电话号码。该伎俩依赖于社会工程或受害者移动运营商的内部人员。
通过控制受害者的电话号码,攻击者可以接收基于短信的临时代码,以进行登录各种企业服务或破坏企业网络所需的双因素身份验证 (2FA)。
就 Lapsus$ 而言,一些欺诈性 SIM 交换是在劫持员工和承包商的账户后直接通过电信提供商的客户管理工具进行的。
为了获取有关受害者的机密信息(姓名、电话号码、客户专有网络信息),该组织的成员有时会使用欺诈性的 紧急披露请求 (EDR)。
攻击者可以通过冒充合法请求者(例如执法人员)或通过在请求中应用官方徽标来创建虚假 EDR。
Lapsus$ 还依赖目标公司、员工或承包商的内部人员来获取凭据、批准多重身份验证 (MFA) 请求或使用内部访问来帮助威胁行为者。
“在执行欺诈性 SIM 交换后,Lapsus$ 通过登录和帐户恢复工作流程接管了在线帐户,这些工作流程通过短信或语音通话发送一次性链接或 MFA 密码”——国土安全部网络安全审查委员会。
在一个案例中,Lapsus$ 利用对电信提供商的未经授权的访问来尝试破坏与 FBI 和国防部人员相关的手机帐户。
由于对这些帐户实施了额外的安全措施,该尝试未成功。
根据 CSRB 的研究结果,该组织每周支付高达 20,000 美元的费用来访问电信提供商的平台并进行 SIM 卡交换。
尽管 FBI 并不知道 Lapsus$ 出售了他们窃取的数据,也没有发现受害者向该组织支付赎金的证据,但 CSRB 表示,一些安全专家“观察到 Lapsus$ 向组织勒索了一些赎金”。
根据 CSRB 的调查结果,该组织还利用 Microsoft Active Directory 中未修补的漏洞来增加其在受害者网络上的权限。
据估计,Lapsus$ 在高达 60% 的攻击中利用了 Active Directory 安全问题,这表明该组织的成员拥有在网络内部移动的技术技能。
虽然 Lapsus$ 的特点是高效、速度、创造力和大胆,但该组织的攻击并不总是成功。它在实施应用程序或基于令牌的多重身份验证 (MFA) 的环境中失败。
此外,强大的网络入侵检测系统和标记可疑帐户活动可以防止 Lapsus$ 攻击。CSRB 在报告中表示,如果遵循事件响应程序,影响就会“显着减轻” 。
尽管安全研究人员和专家多年来一直谴责使用基于短信的身份验证不安全,但国土安全部的网络安全审查委员会强调,“大多数组织没有准备好阻止”来自 Lapsus$ 或其他采用类似策略的组织的攻击。
委员会关于防止其他行为者未经授权访问内部网络的建议包括:
Lapsus$ 自 2022 年 9 月以来一直保持沉默,可能是由于执法调查导致该组织的几名成员被捕。
去年 3 月,伦敦市警方宣布逮捕了 与 Lapsus$ 有关的 7 名个人。几天后,即 4 月 1 日, 又有两人被捕,一名 16 岁和一名 17 岁。
10 月,在“暗云行动”期间, 巴西联邦警察逮捕了 一名涉嫌 Lapsus$ 勒索组织成员的个人,罪名是破坏该国卫生部的系统。
推荐阅读
免费试用尝鲜
贴心会员服务
服务可用性
数据安全保障
全年不间断在线
工作时间:早上9:00-下午6:30
河南快米云网络科技有限公司
公安备案编号:41010302002363
Copyright © 2010-2023 All Rights Reserved. 地址:河南自由贸易区开封片区经济开发区宋城路122号
