继三星微软之后 Lapsus$黑客组织宣布入侵LG、Okta、Cloudflare

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:2022-03-23
3 月 22 日,对三星电子、微软、英伟达、沃达丰等巨头发起网络攻击的外国黑客组织 Lapsus$ 宣布,该组织也入侵了 LG 电子。该组织在Telegram上上传了一份文件,声称这是LG电子员工和服务账户的哈希值。在透露这一消息时,该组织还在其Telegram账号上发布了自称是Okta内部系统的截图,其中一张似乎显示了Okta的Slack频道,另一张是Cloudflare界面。
 
LG 电子的一位发言人说,“我们认为我们一些员工的电子邮件地址已经泄露”。“我们确认了泄漏并开始加强安全性。” 该公司表示,到目前为止,尚未确认客户相关信息的泄露。
 
 

 
多家巨头都曾遭到Lapsus$的攻击
 
在这次攻击之前,该黑客组织表示,它于3月1日从英伟达的服务器上窃取了一个GPU电路图,Lapsus$组织称,此举目的是让英伟达解除其产品对虚拟货币挖矿的限制。英伟达遭到泄露的数据,含超过40万个文件,且大部分都是核心的源代码,压缩包解压后达到75GB。
 
3月7日,据外媒报道,三星电子遭到黑客组织Lapsus$攻击,泄露数据近190GB,被拆分为三个压缩文件,通过点对点网络供外界下载。
 
日前,Lapsus$黑客组织还声称他们泄露了从微软内部Azure DevOps服务器盗取的 Bing、Cortana 和其他项目的源代码。微软表示正在调查 Azure DevOps 源代码存储库的事件,并强调源代码泄露不会增加其产品的安全风险。据称,遭窃的源代码占 Bing 和 Cortana 总源代码的 45% ,占 Bing 地图源代码总量的 90%。
 
目前,综合多家媒体的报道,Lapsus$的主要攻击活动都是针对葡萄牙语国家的电脑系统,因此普遍认为该组织是一个南美黑客团体。
 
近乎猖獗的Lapsus$组织一面对各大IT巨头发起攻击,一面在其社交平台Telegram上发起一项“接下来我们应该泄露什么?”的民意调查,并列出3个三个选项,第一个选项是价值约 200 GB 的 Vodafone 源代码,另外两个选项分别是葡萄牙媒体公司 Impresa 的源代码和数据库,以及阿根廷电子商务公司MercadoLibre 和 MercadoPago 的源代码。
 
随后,这三家公司的源代码都被其直接公开。
 
育碧在不久前的一份声明中也表示收到严重网络攻击,导致其部分游戏、系统和服务暂时中断。虽然Lapsus没有直接声称对此负责,但 Lapsus$ 在Telegram上用笑脸表情分享了这条消息,暗示它可能是攻击事件的罪魁祸首。
 
针对Okta的攻击或将引爆新一轮大规模的供应链攻击
 
Lapsus$在其Telegram频道中声称,已经进入Okta的系统两个月,但它没有从 Okta 本身窃取任何数据库,“我们的重点只针对 Okta 客户”。
 
据了解,Okta为全球超过15,000家企业提供身份认证服务,Peloton、Sonos、T-Mobile和FCC等均在其中。因此,对Okta的任何黑客攻击都可能对依赖Okta来验证用户访问内部系统的公司、大学和政府机构产生重大影响,甚至引爆新一轮的大规模供应链攻击事件。
 
据Okta 首席安全官大卫布拉德伯里称,目前其身份认证该服务本身并未遭到破坏,仍然可以正常运行。
 
"2022年1月下旬,Okta检测到有人试图破坏为我们一个子处理器工作的第三方客户支持工程师的账户。该子处理器对此事进行了调查和控制",调查发现对 Okta 客户的潜在影响仅限于支持个别工程师账号的访问权限,布这些工程师账号无法下载客户数据库或创建或删除用户。
 
根据Okta的说法,当发现到第三方工程师的账号被入侵之后,已立即通知该企业,同时终止该名用户的Okta期间与他的个人账号,并委由第三方鉴识机构展开调查。调查显示黑客是在1月16日至1月21日间访问了该名工程师的笔记本,因此受黑范围仅限于该名工程师所能访问的内容,包含用户名单与JIRA Ticket,其权限则是替用户重置密码与多因素身份认证,但无法添加或删除用户,也无法下载客户数据库,也不能取得用户密码。
 
尽管Okta企图淡化该遭黑事件,但《福布斯》批评,负责管理1亿笔登录账号的Okta,竟然没能在发生安全意外的第一时间通知客户。
 
在内部使用Okta系统进行员工身份认证的Cloudflare也自行展开了调查,指出攻击者所公布的文件的确含有该公司员工的电子邮件账号,而且可能已经启动密码重置功能。
 
Cloudflare也针对Okta的其它客户提出了建议,包括要求所有用户激活多因素身份认证,且最好使用实体密钥作为第二认证机制,以及确认在这期间所有的密码重置都是合法的,同时教育员工小心潜在的社交工程攻击。