Teknoloji devi Microsoft, Lapsus$ tarafından siber saldırıya uğradığını 22 Mart Salı akşamı bir blog gönderisinde doğruladı.
Microsoft ihlali raporları, pazartesi günü Lapsus$’ın Microsoft’taki sözde dahili yazılım havuzlarının ekran görüntülerini yayınlamasıyla başladı. Lapsus$ çetesi Microsoft’un Azure DevOps sunucusundan çalınan 37GB boyutunda, Bing, Cortana ve Bing Haritalar dahil olmak üzere çeşitli dahili Microsoft projeleri için olan kaynak kodunu yayınladı. SearchSecurity pazartesi günü bir açıklama için Microsoft ile iletişime geçtiğinde, Microsoft Lapsus$’ın iddialarından haberdar olduğunu ve araştırdığını söyledi.
Microsoft’un Salı akşamındaki blog yazısı, Microsoft tarafından DEV-0537 olarak izlenen Lapsus$’a genel bir bakış görevi görüyor, ancak sayfanın alt kısmına doğru bir ihlalin onayını içeriyor. Gönderi, “gözlenen faaliyetlere hiçbir müşteri kodu veya verisinin dahil edilmediğini” ve güvenliği ihlal edilmiş tek bir hesap aracılığıyla yalnızca sınırlı erişim sağlandığını iddia etti.
Gönderide, “Siber güvenlik müdahale ekiplerimiz, güvenliği ihlal edilen hesabı düzeltmek ve daha fazla etkinliği önlemek için hızla devreye girdi.” dendi.
Microsoft’un blogu kaynak kodunun çalındığını açıkça söylemese de gönderi bu izlenimi uyandırıyor gibi görünüyordu.
Microsoft, “Bu hafta aktör, Microsoft’a erişim kazandıklarını ve kaynak kodunun bazı kısımlarını sızdırdığını iddia etti” dedi. “Microsoft, bir güvenlik önlemi olarak kodun gizliliğine güvenmez ve kaynak kodun görüntülenmesi risk artışına yol açmaz.”
SearchSecurity, kaynak kodu hırsızlığına ilişkin açıklama için Microsoft ile iletişime geçti. Bir Microsoft sözcüsü, şirketin “şu anda paylaşacak başka bir şeyi olmadığını” söyledi.
Microsoft, benzer şekilde, 2020’nin sonlarında SolarWinds tedarik zinciri saldırıları sırasında, şirket Rus devlet destekli bir tehdit grubu olan Nobelium tarafından ihlal edildiğinde kaynak kodunun gizliliğine güvenmemeye atıfta bulundu.
Microsoft’a göre, Lapsus$ ihlalin sorumluluğunu üstlendiğinde Microsoft’un ekibi güvenliği ihlal edilmiş hesabı “zaten araştırıyordu”. Gönderide, “Bu kamuya açıklama, eylemimizi artırdı ve ekibimizin operasyon ortasında aktöre müdahale etmesine ve kesintiye uğratmasına izin vererek daha geniş etkiyi sınırladı” dedi.
Lapsus$, Güney Amerika merkezli olduğuna inanılan daha yeni bir gasp aktörüdür. Microsoft, çetenin “fidye yazılımı payloadlarını dağıtmadan saf bir gasp ve imha modeli kullanmasıyla bilindiğini” ve “Microsoft tarafından izlenen diğer tehdit aktörleri tarafından daha az kullanılan” birkaç taktik kullandığını söyledi.
“Taktikleri arasında telefon tabanlı sosyal mühendislik; hesap devralmayı kolaylaştırmak için SIM takası; hedef kuruluşlardaki çalışanların kişisel e-posta hesaplarına erişim; kimlik bilgilerine erişim ve çok faktörlü kimlik doğrulama (MFA) onayı için hedef kuruluşların çalışanlarına, tedarikçilerine veya iş ortaklarına ödeme yapılması ve hedeflerinin devam eden kriz iletişim çağrılarına izinsiz girmek yer alıyor” dedi Microsoft.
Çete daha önce Samsung, Nvidia ve Ubisoft’a karşı ihlallerin de sorumluluğunu üstlendi. Microsoft’ta olduğu gibi, Lapsus$, söz konusu şirketler ihlallerin gerçekleştiğini doğrulamadan kısa bir süre önce, üç şirkete de saldırdığını duyurdu.
Microsoft’un gönderisi, Lapsus$’ın “genel” doğasıyla ilgili ek bağlam sağlar.
Gönderide, “İzlenen çoğu etkinlik grubunun aksine, DEV-0537 izlerini kapatmıyor gibi görünüyor” dedi. “Sosyal medyada saldırılarını duyurmaya veya hedef kuruluşların çalışanlarından kimlik bilgileri satın alma niyetlerinin reklamını yapmaya kadar gidiyorlar.”
Lapsus$; hükümet, sağlık, medya, perakende, teknoloji ve telekom gibi sektörlerde küresel çapta kuruluşları hedefliyor.
Kaynak: https://www.techtarget.com/searchsecurity/news/252515022/Microsoft-confirms-breach-attributes-attack-to-Lapsus
