Lapsus$ преминаха на следващо ниво при подмяната на SIM карти

Picture of Здравко Боджов
Здравко Боджов
Aрхив | Факти и данни

Правителството на САЩ публикува доклад след анализ на прости техники, напр. размяна на SIM карти, използвани от групата за изнудване Lapsus$ за пробив в десетки организации със силна защита.

Прегледът на операциите на групата започна през декември миналата година след дълга поредица от инциденти, приписвани на Lapsus$ или заявявани от нея след изтичане на поверителни данни от предполагаеми жертви.

Сред високопоставените компании, засегнати от Lapsus$, са Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Uber, Vodafone, Ubisoft и Globant.

Lapsus$ се описва като слабо организирана група, съставена предимно от тийнейджъри, с членове във Великобритания и Бразилия, която е действала между 2021 и 2022 г. с цел известност, финансова изгода или за забавление. Въпреки това те също така комбинират техники с различна сложност с „проблясъци на творчество“.

Захранване при смяна на SIM картите

Съветът за преглед на киберсигурността (CSRB) към Министерството на вътрешната сигурност (DHS) финализира своя анализ и описва тактиките и техниките на групата в доклад, който включва и препоръки за индустрията.

„Lapsus$ използваше евтини техники, добре познати и достъпни за други  заплахи, разкривайки слаби места в нашата киберинфраструктура, които биха могли да бъдат уязвими за бъдещи атаки“ – пише Съвета за преглед на киберсигурността към Министерството на вътрешната сигурност.

Групата е използвала размяна на SIM карти, за да получи достъп до вътрешната мрежа на целева компания и да открадне поверителна информация като изходен код, подробности за патентована технология или документи, свързани с бизнеса и клиентите.

При атаката с подмяна на SIM карти заплахата открадва телефонния номер на жертвата, като го пренася на SIM карта, собственост на нападателя. Този трик разчита на социално инженерство или на вътрешен човек в мобилния оператор на жертвата.

Имайки контрол върху телефонния номер на жертвата, нападателят може да получава SMS-базирани ефемерни кодове за двуфакторна автентикация (2FA), необходими за влизане в различни корпоративни услуги или за пробив в корпоративни мрежи.

Достъп до източника

В случая с Lapsus$ някои от измамните замени на SIM карти са били извършени директно от инструментите за управление на клиенти на телекомуникационния доставчик след превземане на акаунти, принадлежащи на служители и изпълнители.

За да получат конфиденциална информация за жертвата си (име, телефонен номер, поверителна информация за мрежата на клиента), членовете на групата понякога използвали измамни искания за спешно разкриване на информация (EDR).

Нападателят може да създаде фалшиво EDR, като се представи за легитимен подател на искането, например представител на правоприлагащите органи, или като приложи официални лога към искането.

Lapsus$ също така разчита на вътрешни лица в набелязаните компании, служители или изпълнители, за да получи пълномощия, да одобри искания за многофакторна автентикация (MFA) или да използва вътрешен достъп, за да помогне на заплахата.

„След като изпълни измамните замени на SIM карти, Lapsus$ превзема онлайн акаунти чрез работни процеси за влизане и възстановяване на акаунти, които изпращаха еднократни връзки или MFA пароли чрез SMS или гласови повиквания.“ – продължават от  Съвета.

В един от случаите Lapsus$ използва неоторизирания си достъп до телекомуникационен доставчик, за да се опита да компрометира акаунти на мобилни телефони, свързани със служители на ФБР и Министерството на отбраната.

Опитът е бил неуспешен поради въведената допълнителна защита за тези акаунти.

Печелене и харчене на пари

По време на проучването, според заключенията на CSRB, групата е плащала до 20 000 долара на седмица за достъп до платформата на телекомуникационен доставчик и за извършване на подмяна на SIM карти.

Въпреки че ФБР не е знаело, че Lapsus$ продава откраднатите данни, нито е открило доказателства за жертви, които да плащат откупи на групата, CSRB казва, че някои експерти по сигурността „са наблюдавали как Lapsus$ изнудва организации, като някои от тях са плащали откупи“.

Според констатациите на CSRB групата също така е използвала непоправени уязвимости в Microsoft Active Directory, за да увеличи привилегиите си в мрежата на жертвите.

Изчислено е, че Lapsus$ е използвала проблеми със сигурността на Active Directory в до 60% от атаките си, което показва, че членовете на групата са имали технически умения да се движат в мрежата.

Удряне на спирачките

Макар че Lapsus$ се характеризира с ефективност, бързина, креативност и смелост, групата невинаги успява в атаките си. Тя не успяваше в среди, които прилагат многофакторна автентикация (MFA), базирана на приложения или токени.

Също така надеждните системи за откриване на проникване в мрежата и маркирането на подозрителна активност на акаунти предотвратяваха атаките на Lapsus$. В случаите, когато са били спазвани процедурите за реагиране на инциденти, въздействието е било „значително намалено“, се казва в доклада на CSRB.

Въпреки че изследователите и експертите по сигурността от години осъждат използването на SMS-базирано удостоверяване като несигурно, Съветът за преглед на киберсигурността към DHS подчертава, че „повечето организации не са били подготвени да предотвратят“ атаките от Lapsus$ или други групи, използващи подобни тактики.

Препоръките на Съвета за предотвратяване на неоторизиран достъп на други участници до вътрешна мрежа включват

  • преминаване към среда без пароли с помощта на сигурни решения за управление на идентичността и достъпа и отхвърляне на SMS като метод за удостоверяване в две стъпки
  • приоритизиране на усилията за намаляване на ефикасността на социалния инженеринг чрез надеждни възможности за удостоверяване, които са устойчиви на фишинг чрез MFA
  • доставчиците на телекомуникационни услуги следва да третират смяната на SIM карти като силно привилегировани действия, които изискват силна проверка на самоличността, и да предоставят на потребителите възможности за блокиране на сметките
  • засилване на дейностите по надзор и правоприлагане на Федералната комисия по съобщенията (FCC) и Федералната търговска комисия (FTC)
  • планиране на разрушителни кибератаки и инвестиране в превенция, реагиране и възстановяване; приемане на модел на нулево доверие и укрепване на практиките за удостоверяване на автентичността
  • изграждане на устойчивост срещу атаки със социален инженеринг, когато става въпрос за искания за спешно разкриване на информация (данни)
  • организациите трябва да засилят сътрудничеството с правоприлагащите органи, като докладват своевременно за инциденти; правителството на САЩ „ясни, последователни насоки за своите роли и отговорности, свързани с киберинциденти“

Lapsus$ замлъкна от септември 2022 г., вероятно поради разследванията на правоприлагащите органи, които доведоха до арестите на няколко членове на групата.

През март миналата година полицията в Лондон обяви, че са арестувани седем лица, свързани с Lapsus$. Няколко дни по-късно, на 1 април, са задържани още двама – 16-годишен и 17-годишен.

През октомври, по време на операция „Тъмният облак“, бразилската федерална полиция арестува лице, за което се предполага, че е част от групата за изнудване Lapsus$, за пробив в системите на Министерството на здравеопазването на страната.

 

 

 

#анализи, # измами, # изтичане на данни, # кражба на пароли, # пробиви в сигурността
По материали от Интернет

Подобни

Глобален срив на X
17.02.2026
ai-generated-8223753_640
NASA тества ИИ за автономна навигация на Марс
17.02.2026
wikiimages-mars-67522_640
Claude на Anthropic и военните операции на САЩ
17.02.2026
pentagon-US-defense
ЕК одобри придобиването на Wiz от Google
16.02.2026
Wiz-Google
Кибератаките – водещият риск за Г-7
16.02.2026
webinar_AI_in_Cybersecurity_Q1_BLOG_735x416_px
Airbnb залага на ИИ като личен асистент
16.02.2026
freestocks-photos-airbnb-2941142_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.