Update: Britische Polizei verhaftet sieben mutmassliche Lapsus$-Mitglieder

Update vom 25. März 2022: Beamte der Londoner Stadtpolizei sollen sieben Teenager im Alter von 16 bis 21 Jahren verhaftet und wieder freigelassen haben. Die Polizei liefert jedoch nur wenige Details. In einem Statement gegenüber "The Register" heisst es: "Sieben Personen im Alter zwischen 16 und 21 Jahren wurden im Zusammenhang mit den Ermittlungen gegen eine Hackergruppe festgenommen. Sie wurden alle aus der Untersuchungshaft entlassen. Unsere Ermittlungen dauern noch an."

Unter den Verdächtigen ist ein 16-jähriger Teenager aus Oxford. Ihm wird eine Führungsrolle bei der Hackergruppe Lapus$ zugeschrieben, wie BCC berichtet. Der Teenager soll bereits ein Vermögen von rund 14 Millionen US-Dollar in Bitcoin angehäuft haben. Kürzlich verstritt er sich mit seinen Geschäftspartnern und seine persönlichen Daten wurden online geleaked (Doxxing).

Cybersicherheits-Spezialisten sind ihm schon länger auf den Fersen. "Wir kannten seinen Namen bereits Mitte des vergangenen Jahres und haben ihn schon vor dem Doxxing identifiziert", sagt Allison Nixon, Chief Research Officer bei Unit 221B. Ob es sich tatsächlich um die von der Stadtpolizei London verhaftete Person handelt, wird nicht bestätigt.

Aber Cybereasons Direktor für Sicherheitsstrategie Ken Westin sagt gegenüber "The Register", dass er nicht überrascht wäre, falls es sich bei dem Anführern der Hackergruppe um Teenager handeln würde. Diese würden nämlich unterschätzt. Teenager wachsen heute mit Computern auf und haben einen noch nie dagewesenen Zugang zu Bildungsressourcen über Programmierung und Cybersicherheit. Ausserdem sei die finanzielle Verlockung von Hackerangriffen hoch - wie auch das Bitcoin-Portfolio des 16-jährigen Teenagers aus Oxford zeigt.

Update vom 23. März 2022:

Microsoft und Okta bestätigen Sicherheitsleck

Nach einer kurzen Untersuchung hat Microsoft bestätigt, dass die Hackergruppe Lapsus$ über den kompromittierten Account eines Mitarbeitenden in die Systeme eingedrungen ist. Allerdings handelt es ich nur um einen einzigen kompromittierten Account und somit limitierten Zugang.

"Unsere Cybersecurity-Response-Teams haben schnell gehandelt, um das kompromittierte Konto zu bereinigen und weitere Aktivitäten zu verhindern", erklärt Microsoft in einer Stellungnahme. "Bei den beobachteten Aktivitäten waren weder Code noch Daten von Kunden betroffen."

Die Hackergruppe konnte dennoch 37 Gigabyte Quellcode von diversen Microsoft-Projekten stehlen. Der Quellcode wurde bereits als ZIP-Archiv veröffentlicht, wie "Bleepingcomputer" berichtet. Dies stellt aber keine weitere Gefahr dar. "Microsoft verlässt sich nicht auf die Geheimhaltung des Codes als Sicherheitsmassnahme. Die Einsicht in den Quellcode führt nicht zu einem erhöhten Risiko", heisst es in der Stellungnahme von Microsoft.

Okta bestätigte ebenfalls den Hack von Lapsus$. Sicherheitschef David Bradbury teilte mit: "Nach einer gründlichen Analyse dieser Behauptungen sind wir zu dem Schluss gekommen, dass ein kleiner Prozentsatz von Kunden - etwa 2,5 Prozent - potenziell betroffen ist und deren Daten möglicherweise eingesehen oder bearbeitet wurden." Weiter heisst es, dass diese Kunden identifiziert und kontaktiert worden seien.

Im Vergleich zum Angriff auf Microsoft könnte der Okta-Hack weitaus drastischere Folgen haben, wie "The Register" berichtet. Die gestohlenen Kundendaten gehörten zu verschiedenen Unternehmen, die nun allesamt selbst einen Sicherheitscheck durchführen müssten. Laut dem Newsportal könnte diese eine Infiltration zu einer Kettenreaktion führen und auf etlich weitere Unternehmen überschwappen.

So agiert Lapsus$

Microsoft verfolgte das Vorgehen der Hackergruppe und kommt zum Schluss, dass diese meist über kompromittierte Zugangsdaten von Mitarbeitenden in die Systeme von Unternehmen eindringen. Die Mitarbeiterdaten werden im Darkweb oder direkt bei Angestellten des betroffenen Unternehmens erworben. Passwörter werden auch mithilfe der Redline-Malware gestohlen. Diese wird etwa via Phishingmails oder Youtube-Videos verteilt.

Über diese Daten gelangt die Hackergruppe in das Netzwerk des Unternehmens, wo sie mithilfe von AD Explorer die Zugangsdaten von Accounts mit höheren Privilegien stehlen. So erlangen sie schlussendlich den Zugriff auf Quellcode-Repertoires.

Microsoft gibt Unternehmen gleich mehrere Sicherheitsvorschläge:

• Sie sollen eine Multi-Faktor-Authentifizierung (MFA) einsetzen - am besten keine, die auf Telefone basiert (Mehr zum Tema MFA und wie diese funktioniert, können Sie hier nachlesen).

• Sie sollen für sichere Endpoints sorgen (Laptops, Tablets, etc).

• Sie sollen die Sicherheit ihrer Cloud-Dienste stärken und überwachen.

Originalmeldung vom 22. März 2022:

Hackergruppe Lapsus$ findet möglicherweise in Microsoft und Okta die nächsten Opfer

Die südamerikanische Hackergruppe Lapsus$ hat angeblich den Azure-DevOps-Server von Microsoft gehackt. Diesen Erfolg beansprucht die Hackergruppe mit einem Screenshot, der am Sonntag dem 22. März auf ihrem Telegramm-Kanal publiziert wurde. Der Screenshot soll ein Azure-DevOps-Repertoire zeigen. Dieses beinhaltet den angeblichen Quellcode des virtuellen Microsoft Assistenten Cortana und von mehreren Projekten, die mit der Suchmaschine Bing in Verbindung stehen.

Microsoft untersucht den Vorfall, wie ein Mediensprecher gegenüber "Techmonitor" sagte. Derzeit lässt sich über einen vermeintlichen Erfolg nur spekulieren und die Meinungen der Experten sind gespalten, wie es in dem Bericht des Newsportals heisst. Ein weiterer Erfolg der Hackergruppe, die sich mit Angriffen auf Ubisoft, Nvidia und Samsung einen Namen gemacht hat, kann aber keinesfalls ausgeschlossen werden.

Ebenfalls über den Telegram-Kanal beansprucht Lapsus$ auch einen erfolgreichen Angriff auf Okta. wie "Bleepingcomputer" berichtet. Die Hackergruppe verschaffte sich demnach "Superuser/Admin"-Zugang zu Okta.com und stahl so Kundendaten. Dieser Hack soll auf den Januar 2022 zurückgehen, als Okta einen Angriff bei einem Drittanbieter verzeichnete, wie CEO Todd McKinnon damals sagte. Das Unternehmen fokussiert sich explizit auf Identity & Access Management und eröffnete Mitte März eine Schweizer Niederlassung.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.