Търсене
Close this search box.

Lapsus$ преминаха на следващо ниво при подмяната на SIM карти

Правителството на САЩ публикува доклад след анализ на прости техники, напр. размяна на SIM карти, използвани от групата за изнудване Lapsus$ за пробив в десетки организации със силна защита.

Прегледът на операциите на групата започна през декември миналата година след дълга поредица от инциденти, приписвани на Lapsus$ или заявявани от нея след изтичане на поверителни данни от предполагаеми жертви.

Сред високопоставените компании, засегнати от Lapsus$, са Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Uber, Vodafone, Ubisoft и Globant.

Lapsus$ се описва като слабо организирана група, съставена предимно от тийнейджъри, с членове във Великобритания и Бразилия, която е действала между 2021 и 2022 г. с цел известност, финансова изгода или за забавление. Въпреки това те също така комбинират техники с различна сложност с „проблясъци на творчество“.

Захранване при смяна на SIM картите

Съветът за преглед на киберсигурността (CSRB) към Министерството на вътрешната сигурност (DHS) финализира своя анализ и описва тактиките и техниките на групата в доклад, който включва и препоръки за индустрията.

„Lapsus$ използваше евтини техники, добре познати и достъпни за други  заплахи, разкривайки слаби места в нашата киберинфраструктура, които биха могли да бъдат уязвими за бъдещи атаки“ – пише Съвета за преглед на киберсигурността към Министерството на вътрешната сигурност.

Групата е използвала размяна на SIM карти, за да получи достъп до вътрешната мрежа на целева компания и да открадне поверителна информация като изходен код, подробности за патентована технология или документи, свързани с бизнеса и клиентите.

При атаката с подмяна на SIM карти заплахата открадва телефонния номер на жертвата, като го пренася на SIM карта, собственост на нападателя. Този трик разчита на социално инженерство или на вътрешен човек в мобилния оператор на жертвата.

Имайки контрол върху телефонния номер на жертвата, нападателят може да получава SMS-базирани ефемерни кодове за двуфакторна автентикация (2FA), необходими за влизане в различни корпоративни услуги или за пробив в корпоративни мрежи.

Достъп до източника

В случая с Lapsus$ някои от измамните замени на SIM карти са били извършени директно от инструментите за управление на клиенти на телекомуникационния доставчик след превземане на акаунти, принадлежащи на служители и изпълнители.

За да получат конфиденциална информация за жертвата си (име, телефонен номер, поверителна информация за мрежата на клиента), членовете на групата понякога използвали измамни искания за спешно разкриване на информация (EDR).

Нападателят може да създаде фалшиво EDR, като се представи за легитимен подател на искането, например представител на правоприлагащите органи, или като приложи официални лога към искането.

Lapsus$ също така разчита на вътрешни лица в набелязаните компании, служители или изпълнители, за да получи пълномощия, да одобри искания за многофакторна автентикация (MFA) или да използва вътрешен достъп, за да помогне на заплахата.

„След като изпълни измамните замени на SIM карти, Lapsus$ превзема онлайн акаунти чрез работни процеси за влизане и възстановяване на акаунти, които изпращаха еднократни връзки или MFA пароли чрез SMS или гласови повиквания.“ – продължават от  Съвета.

В един от случаите Lapsus$ използва неоторизирания си достъп до телекомуникационен доставчик, за да се опита да компрометира акаунти на мобилни телефони, свързани със служители на ФБР и Министерството на отбраната.

Опитът е бил неуспешен поради въведената допълнителна защита за тези акаунти.

Печелене и харчене на пари

По време на проучването, според заключенията на CSRB, групата е плащала до 20 000 долара на седмица за достъп до платформата на телекомуникационен доставчик и за извършване на подмяна на SIM карти.

Въпреки че ФБР не е знаело, че Lapsus$ продава откраднатите данни, нито е открило доказателства за жертви, които да плащат откупи на групата, CSRB казва, че някои експерти по сигурността „са наблюдавали как Lapsus$ изнудва организации, като някои от тях са плащали откупи“.

Според констатациите на CSRB групата също така е използвала непоправени уязвимости в Microsoft Active Directory, за да увеличи привилегиите си в мрежата на жертвите.

Изчислено е, че Lapsus$ е използвала проблеми със сигурността на Active Directory в до 60% от атаките си, което показва, че членовете на групата са имали технически умения да се движат в мрежата.

Удряне на спирачките

Макар че Lapsus$ се характеризира с ефективност, бързина, креативност и смелост, групата невинаги успява в атаките си. Тя не успяваше в среди, които прилагат многофакторна автентикация (MFA), базирана на приложения или токени.

Също така надеждните системи за откриване на проникване в мрежата и маркирането на подозрителна активност на акаунти предотвратяваха атаките на Lapsus$. В случаите, когато са били спазвани процедурите за реагиране на инциденти, въздействието е било „значително намалено“, се казва в доклада на CSRB.

Въпреки че изследователите и експертите по сигурността от години осъждат използването на SMS-базирано удостоверяване като несигурно, Съветът за преглед на киберсигурността към DHS подчертава, че „повечето организации не са били подготвени да предотвратят“ атаките от Lapsus$ или други групи, използващи подобни тактики.

Препоръките на Съвета за предотвратяване на неоторизиран достъп на други участници до вътрешна мрежа включват

  • преминаване към среда без пароли с помощта на сигурни решения за управление на идентичността и достъпа и отхвърляне на SMS като метод за удостоверяване в две стъпки
  • приоритизиране на усилията за намаляване на ефикасността на социалния инженеринг чрез надеждни възможности за удостоверяване, които са устойчиви на фишинг чрез MFA
  • доставчиците на телекомуникационни услуги следва да третират смяната на SIM карти като силно привилегировани действия, които изискват силна проверка на самоличността, и да предоставят на потребителите възможности за блокиране на сметките
  • засилване на дейностите по надзор и правоприлагане на Федералната комисия по съобщенията (FCC) и Федералната търговска комисия (FTC)
  • планиране на разрушителни кибератаки и инвестиране в превенция, реагиране и възстановяване; приемане на модел на нулево доверие и укрепване на практиките за удостоверяване на автентичността
  • изграждане на устойчивост срещу атаки със социален инженеринг, когато става въпрос за искания за спешно разкриване на информация (данни)
  • организациите трябва да засилят сътрудничеството с правоприлагащите органи, като докладват своевременно за инциденти; правителството на САЩ „ясни, последователни насоки за своите роли и отговорности, свързани с киберинциденти“

Lapsus$ замлъкна от септември 2022 г., вероятно поради разследванията на правоприлагащите органи, които доведоха до арестите на няколко членове на групата.

През март миналата година полицията в Лондон обяви, че са арестувани седем лица, свързани с Lapsus$. Няколко дни по-късно, на 1 април, са задържани още двама – 16-годишен и 17-годишен.

През октомври, по време на операция „Тъмният облак“, бразилската федерална полиция арестува лице, за което се предполага, че е част от групата за изнудване Lapsus$, за пробив в системите на Министерството на здравеопазването на страната.

 

 

 

Източник: По материали от Интернет

Подобни публикации

21 април 2024

Как OpenAI и Microsoft събудиха заспал софтуере...

Само преди десетилетие най-големият технологичен звяр в света беше ...
20 април 2024

Готви се нова методика за удостоверяване на съо...

Актуализирането на методиката за удостоверяване на съответствието н...
20 април 2024

Критична уязвимост на Forminator за WordPress и...

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е ...
20 април 2024

Бандата "Медуза" нанася нов удар

Въпреки че общинската агенция уверява обществеността, че малцина са...
19 април 2024

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска груп...
19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
Бъдете социални
Още по темата
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
19/04/2024

Замбия арестува 77 души в о...

Компанията за фалшиви телефонни центрове извършва...
17/04/2024

Пробивът на паролите в Sise...

Експертите се опасяват, че компрометирането на...
Последно добавени
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Готви се нова методика за у...

Актуализирането на методиката за удостоверяване на...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!