Microsoft และ Okta ให้รายละเอียดเกี่ยวกับผลกระทบของการโจมตี Lapsus$ ล่าสุด

46b840c0-a798-11eb-bfad-ddeeded166e8

ทั้ง Microsoft และ Okta ยอมรับว่าระบบของพวกเขาถูกแทรกซึมโดยกลุ่มแฮ็ค Lapsus$ แต่ทั้งสองบริษัทยังกล่าวด้วยว่าผลกระทบของการโจมตีทางไซเบอร์นั้นมีจำกัด ในโพสต์บน บล็อก Microsoft Security เทคโนโลยีได้เปิดเผยว่ากลุ่มสามารถเข้าถึงระบบได้อย่างจำกัดโดยใช้บัญชีเดียวที่ถูกบุกรุก

เมื่อกลุ่มแฮ็กเกอร์ปล่อยทอร์เรนต์พร้อมข้อมูลที่ถูกขโมย พวกเขากล่าวว่าแพ็คเกจดังกล่าวประกอบด้วยซอร์สโค้ดของ Bing 90% และรหัส Cortana และ Bing Maps 45 เปอร์เซ็นต์ Microsoft ไม่ได้บอกว่ารหัสของผลิตภัณฑ์เหล่านั้นถูกขโมยจริงหรือไม่ แต่อธิบายว่า “ไม่อาศัยความลับของรหัสเนื่องจากมาตรการรักษาความปลอดภัยและการดูซอร์สโค้ดไม่ทำให้เกิดความเสี่ยง” เห็นได้ชัดว่าบริษัทกำลังตรวจสอบบัญชีที่ถูกบุกรุกก่อนที่จะมีการประกาศของ Lapsus$ การเคลื่อนไหวของกลุ่มทำให้ Microsoft เคลื่อนไหวเร็วขึ้น ซึ่งช่วยให้สามารถขัดจังหวะผู้ไม่หวังดีระหว่างการดำเนินการ ดังนั้นจึงจำกัดผลกระทบ

ในขณะเดียวกัน Okta ได้ อัปเดต โพสต์เก่าที่ทำขึ้นเพื่อตอบสนองต่อการอ้างสิทธิ์ในการแฮ็กและเปิดเผยว่าลูกค้าประมาณ 2.5 เปอร์เซ็นต์ของบริษัทอาจเคยดูหรือดำเนินการข้อมูลของตนแล้ว แม้ว่าบริษัทจะมีลูกค้าหลายหมื่นราย แต่ก็สนับสนุน “ผู้ใช้หลายร้อยล้านคน” จริงๆ Okta ยืนยันว่าได้ติดต่อลูกค้าที่ได้รับผลกระทบโดยตรงผ่านอีเมลแล้ว

Okta กล่าวก่อนหน้านี้ว่าพบหน้าต่างห้าวันในเดือนมกราคมที่ผู้โจมตีสามารถเข้าถึงแล็ปท็อปของวิศวกรฝ่ายสนับสนุน อย่างไรก็ตาม บริษัทกล่าวว่าผลกระทบที่อาจเกิดขึ้นกับลูกค้า Okta นั้นมีจำกัด เนื่องจากวิศวกรฝ่ายสนับสนุนสามารถเข้าถึงข้อมูลได้จำกัดเท่านั้น Lapsus$ อ้าง ว่าคำกล่าวนี้เป็นเรื่องโกหก เนื่องจากสามารถเข้าสู่ “พอร์ทัลผู้ใช้ระดับสูงที่มีความสามารถในการรีเซ็ตรหัสผ่านและ MFA” ได้ประมาณ 95 เปอร์เซ็นต์ของลูกค้าของบริษัท

นอกเหนือจากการประกาศผลการตรวจสอบแล้ว Microsoft ยังมีรายละเอียดว่า Lapsus$ ทำงานอย่างไรในโพสต์ เห็นได้ชัดว่ากลุ่มนี้ใช้กลวิธีต่างๆ เพื่อเข้าถึงระบบของเป้าหมาย เช่น อาศัยวิศวกรรมสังคมและการใช้ตัวขโมยรหัสผ่าน นอกจากนี้ยังซื้อการเข้าสู่ระบบจากฟอรัมใต้ดินและแม้กระทั่งจ่ายเงินให้พนักงานที่ทำงานในองค์กรเป้าหมายเพื่อใช้ข้อมูลประจำตัว อนุมัติการแจ้งเตือน MFA และติดตั้งซอฟต์แวร์การจัดการระยะไกลบนเวิร์กสเตชันขององค์กรหากจำเป็น ในบางครั้ง มันยังทำการโจมตีสลับซิมเพื่อเข้าถึงหมายเลขโทรศัพท์ของผู้ใช้เพื่อรับรหัสสองปัจจัย

หากเข้าถึงได้เฉพาะข้อมูลประจำตัวของบัญชีสำหรับผู้ที่มีสิทธิ์จำกัดในตอนแรก มันจะสำรวจช่องทางการทำงานร่วมกันของบริษัท เช่น Teams และ Slack หรือใช้ประโยชน์จากช่องโหว่เพื่อเข้าสู่ระบบสำหรับผู้ใช้ในระดับที่สูงขึ้นในองค์กร Microsoft กล่าวว่ากลุ่มเริ่มต้นด้วยการกำหนดเป้าหมายบัญชี cryptocurrency ขโมยกระเป๋าเงินและเงินทุน ในที่สุด ก็ยังกำหนดเป้าหมายบริษัทโทรคมนาคม สถาบันอุดมศึกษา และองค์กรภาครัฐในอเมริกาใต้และทั่วโลก

ใส่ความเห็น