Microsoft, Lapsus$ Grubu Tarafından Saldırıya Uğradıklarını Doğruladı
Microsoft, çalışanlarından birinin Lapsus$ hack grubu tarafından siber saldırıya uğradığını doğruladı. Açıklamaya göre tehdit aktörleri, şirketin kaynak kodlarına erişerek bir kısmını ise çaldı.
Lapsus$ çetesi, Microsoft’un Azure DevOps sunucusundan çalınan 37GB’lık kaynak kodu yayınladı. Görünüşe göre çalınan kaynak kodu, Bing, Cortana ve Bing Haritalar dahil olmak üzere çeşitli dahili Microsoft projeleri için kullanılmakta.
Bu gece yayınlanan yeni bir blog gönderisinde Microsoft, çalışanlarının hesaplarından birinin Lapsus$ tarafından ele geçirildiğini ve kaynak kod havuzlarına sınırlı erişim sağladığını doğruladı.
Microsoft, yapmış olduğu açıklamada Lapsus$ tehdit aktörleri hakkında şu ifadeleri kullandı: “Gözlemlenen etkinliklere hiçbir müşteri kodu veya verisi çalınmadı. Araştırmamız sonucunda, kodlara sınırlı erişim sağlayan tek bir hesabın güvenliğinin ihlal edildiğini tespit ettik. Siber güvenlik müdahale ekiplerimiz, güvenliği ihlal edilen hesabı düzeltmek ve daha fazla etkinliği önlemek için hızla devreye girdi.”
“Ekibimiz, tehdit aktörleri izinsiz girişlerini kamuya açıkladığı sırada, güvenliği ihlal edilmiş hesabı zaten tehdit istihbaratına dayalı olarak araştırıyordu. Bu kamuya açıklama, ekibimizin müdahale etmesine ve operasyonun ortasında aktöre müdahale etmesine olanak tanıyarak daha geniş etkiyi sınırlayarak eylemimizi hızlandırdı.”
Microsoft, hesabın nasıl ele geçirildiğini paylaşmasa da, Lapsus çetesinin birden fazla saldırıda gözlemlenen taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkında genel bir çerçeve sağladı.
Güvenliği ihlal edilmiş kimlik bilgilerine odaklanma
Microsoft, Lapsus$ veri gasp grubunu ‘DEV-0537’ olarak kodlamış durumda ve öncelikle şirket ağlarına ilk erişim için güvenliği ihlal edilmiş kimlik bilgilerini almaya odaklandıklarını söylüyor.
Bu kimlik bilgileri aşağıdaki yöntemler kullanılarak elde ediliyor:
- Parolaları ve oturum tokenlarını elde etmek için kötü niyetli Redline parola hırsızını dağıtma
- Siber suçlara dair yeraltı forumlarında kimlik bilgileri ve oturum tokenları satın alma
- Kimlik bilgilerine erişim ve çok faktörlü kimlik doğrulama (MFA) onayı için hedeflenen kuruluşlardaki (veya tedarikçiler/iş ortaklarındaki) çalışanlara ödeme yapma
- Açıkta kalan kimlik bilgileri için genel kod depolarını tarama
Redline şifre hırsızı, kimlik bilgilerini çalmak için tercih edilen kötü amaçlı yazılım haline geldi ve yaygın olarak kimlik avı e-postaları, sulama delikleri, warez siteleri ve YouTube videoları aracılığıyla dağıtılıyor.
Laspsus$, güvenliği ihlal edilmiş kimlik bilgilerine eriştiğinde, bunu bir şirketin VPN’ler, Sanal Masaüstü altyapısı veya Ocak ayında ihlal ettikleri Okta gibi kimlik yönetimi hizmetleri dahil olmak üzere halka açık cihazlarına ve sistemlerine giriş yapmak için kullanıyor.
Bir ağa erişim sağladıklarında, tehdit aktörleri daha yüksek ayrıcalıklara sahip hesapları bulmak için AD Explorer’ı kullanır ve ardından SharePoint, Confluence, JIRA, Slack ve Microsoft Teams gibi diğer kimlik bilgilerinin çalındığı geliştirme ve işbirliği platformlarını hedefler.
Bilgisayar korsanlığı grubu, Microsoft’a yapılan saldırıda gördüğümüz gibi, GitLab, GitHub ve Azure DevOps’taki kaynak kod havuzlarına erişmek için de bu kimlik bilgilerini kullanmaktadır.
Microsoft, raporlarında “DEV-0537’nin Confluence, JIRA ve GitLab’daki güvenlik açıklarından yararlandığı da biliniyor.”
Lapsus$’a karşı koruma
Microsoft, kurumsal varlıkların Lapsus$ gibi tehdit aktörlerine karşı korunması için aşağıdaki adımları gerçekleştirmesini önerir:
- MFA (multi-factor authentication) uygulamasını güçlendirin
- Uç Noktaları güvenilir hale getirin
- VPN’ler için modern kimlik doğrulama seçeneklerinden yararlanın
- Bulut güvenlik ortamınızı güçlendirin ve izleyin
- Sosyal mühendislik saldırılarına karşı farkındalığı artırın
- DEV-0537 saldırılarına yanıt olarak operasyonel güvenlik süreçleri oluşturun
Lapsus$, NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre ve şimdi Microsoft’a yönelik olanlar da dahil olmak üzere, son zamanlarda çeşitli kuruluşlara karşı çok sayıda saldırı gerçekleştirdi.
Bu nedenle, güvenlik ve ağ yöneticilerinin Microsoft’un raporunu okuyarak bu grup tarafından kullanılan taktikler hakkında bilgi sahibi olmaları şiddetle tavsiye edilir.
Kaynak: bleepingcomputer.com
Diğer Haberler
Lapsus$, Microsoft Kaynak Kod Depolarını Hackledi Mi?
Lapsus$ Durmuyor Şimdi de Okta
Yeni Keşfedilen Bios Zafiyeti Milyonlarca Dell Cihazı Etkiliyor