Geçtiğimiz birkaç hafta boyunca, Lapsus hack grubu büyük şirketlerin verilerini halka açık şekilde çevrimiçi olarak paylaştı.
Lapsus’un saldırısından nasibini alan şirketler arasında Samsung, NVIDIA, Vodafone, Ubisoft, Okta ve Microsoft bulunuyor. Lapsus grubu, geçtiğimiz gün Cortana, Bing ve Bing Haritalar dahil olmak üzere birden çok Microsoft uygulamasının kaynak kodlarını ortaya çıkardı. Redmond devi, hack grubunun saldırısını kabul etmiş durumda. Ayrıca şirket, tehdit aktörü hakkında biraz daha ayrıntıyı da kullanıcılar ile paylaştı.
Microsoft, Lapsus grubunun son zamanlarda dünya çapında çok sayıda kurumsal ve bireysel kuruluşu hedeflemek için kapsamını genişlettiğinden bahsediyor. Hack grubu, çok faktörlü kimlik doğrulama (MFA) sistemlerine ve dahili sistemlere erişim sağlamak için genellikle telefon tabanlı sosyal mühendislik, SIM takası ve rüşvet alan çalışanlar aracılığıyla saldırılarını gerçekleştiriyor. Diğer yöntemler arasında sahte kimlik bilgilerini tespit etmek için genel kod depolarını analiz etmek ve suç forumlarından kimlik bilgileri satın almak da yer alıyor.
Lapsus hack grubu, ilk erişimi başarıyla elde ettikten sonra hedef kuruluşun kullanıcılarının bir listesini sıralamak için AD Explorer’ı kullanıyor. Ardından, keşif yapmak ve hassas bilgileri bulmak adına Slack, SharePoint, Teams, GitLab, Jira ve Confluence gibi işbirliği platformlarında geziniyor. Grup ayrıca, ayrıcalık yükseltme rutinlerini çalıştırmak için platform düzeyinde güvenlik açıklarından yararlanıyor. Microsoft, bazı durumlarda Lapsus’un ayrıcalıklı bir kullanıcının şifresini sıfırlamak için şirketin yardım masasını bile arayabildiğini söylüyor.
Şirket yayınladığı blog gönderisinde “Araştırmamız, sınırlı erişim sağlayan tek bir hesabın güvenliğinin ihlal edildiğini tespit etti. Siber güvenlik müdahale ekiplerimiz, güvenliği ihlal edilen hesabı düzeltmek ve daha fazla etkinliği önlemek için hızla devreye girdi. Microsoft, bir güvenlik önlemi olarak kodun gizliliğine güvenmez ve kaynak kodun görüntülenmesi risk artışına yol açmaz. Bu saldırıda kullanılan DEV-0537 (LAPSUS$) taktikleri, bu blogda tartışılan taktikleri ve teknikleri yansıtmaktadır. Grup, izinsiz girişlerini herkese açık bir şekilde ifşa ettiğinde, ekibimiz tehdit istihbaratına dayalı olarak güvenliği ihlal edilmiş hesapları halihazırda araştırıyordu. Bu kamuya açıklama, eylemimizi hızlandırdı ve ekibimizin müdahale etmesine ve operasyonun ortasına aktöre müdahale etmesine izin vererek daha geniş etkiyi sınırladı.” diyerek süreçten bahsediyor.
Son olarak Microsoft’un, konuyla ilgili geniş açıklamasına buradan erişebileceğinizi belirtelim.
