in ,

Les pirates LAPSUS$ divulguent un trésor de données et prétendent violer Microsoft et Okta

Microsoft et Okta enquêtent sur le problème tandis que les pirates LAPSUS$ ont divulgué des Go de données, y compris apparemment le code source de Cortana et Bing.

Les pirates LAPSUS$ prétendent avoir piraté Microsoft et voler un trésor de données. Le groupe prétend également avoir accès à plusieurs comptes DevOps appartenant à Microsoft Azure, ce qui, s’il est confirmé, pourrait être le plus gros incident de cybersécurité de cette année.

Leak of some Bing , Bing Maps and Cortana source code – Bing maps is 90% complete dump. Bing and Cortana around 45%.

NOTE: IF THE TORRENT FAILS MAKE SURE TO ADD TRACKERS!!! https://ngosang.github.io/trackerslist/trackers_best.txt

Qui sont les hackers LAPSUS$ 

Apparemment, LAPSUS$ est un groupe de piratage brésilien qui était à l’origine des violations de données de Samsung , Ubisoft et Nvidia au cours des deux dernières semaines. Au cours du week-end, les pirates ont publié une capture d’écran sur sa chaîne Telegram révélant qu’ils avaient accédé aux systèmes internes de Microsoft. 

L’une des captures d’écran semblait provenir d’un compte Azure DevOps, un produit proposé par Microsoft qui permet aux développeurs de collaborer sur des projets. Cependant, quelques minutes plus tard, le message a été supprimé et le gang a publié un autre message qui disait: “Supprimé pour l’instant, republiera plus tard.”

Projets répertoriés dans la capture d’écran supprimée :

Les projets répertoriés dans la capture d’écran publiée par le groupe LAPSUS$ incluent les suivants :

  1. Bing Cubateur
  2. Création créative
  3. Bing_UX : interface Bing.com (SNR) + autre base de code UX pertinente
  4. Cortana : projet Cortana principal, y compris le code associé et les éléments de travail.
  5. Code source Bing : projet principal qui stocke l’intégralité du code source Bing.
  6. Compliance_Engineering : un projet d’équipe d’ingénierie de conformité WebXT.
  7. Bing_Test_Agile : un projet de test pour Bing réalisé via le modèle Agile.
  8. Bing_STC-SV : contenant le code source de plusieurs projets d’ingénierie Bing dans le bureau de la Silicon Valley

Les projets les plus cruciaux sont le code source de Cortana et Bing, qui contiennent le code source de l’ensemble du produit. Le porte-parole de Microsoft a déclaré qu’ils étaient au courant de l’allégation et qu’ils enquêtaient sur celle-ci.

Les pirates LAPSUS$ divulguent un trésor de données et prétendent violer Microsoft et Okta
Lapsus $ sur Telegram

La brèche semble authentique

Bien que le géant de la technologie enquête sur la question, plusieurs chercheurs en cybersécurité craignent que les données divulguées par les pirates LAPSUS$ ne semblent authentiques. Un chercheur infosec basé en France, Soufiane Tahiri, qui passe par le pseudo Twitter de @S0ufi4n3 , a déclaré que selon son analyse, “la fuite de Microsoft est 100% géniale et elle contient beaucoup de données, y compris des e-mails et des noms forts signant public / des clés privées, des certificats de signature de code… et bien BEAUCOUP DE CODE.

Tahiri a ensuite confirmé qu’il était en mesure de signer un assemblage en utilisant l’un des certificats de Microsoft de la fuite Lapsus.

Okta Brèche

Dans un autre incident, les pirates de LAPSUS$ prétendent également avoir violé le fournisseur de services d’authentification Okta, Inc. Sur son groupe Telegram, vu par Hackread.com, les pirates de LAPSUS$ ont partagé des captures d’écran de l’infrastructure interne de l’entreprise, y compris la suite Atlassian de l’entreprise. et les chaînes Slack internes.

Captures d’écran d’Okta sur Telegram

Le groupe a poursuivi en expliquant que les captures d’écran avaient été prises après son accès aux super-utilisateurs/administrateurs d’Okta.com et à divers autres systèmes. » De plus, les pirates ont déclaré qu’ils n’avaient pas accédé ni volé la base de données d’Okta puisque leur “objectif était les clients d’Okta”.

Pour un service qui alimente les systèmes d’authentification de nombreuses grandes entreprises (et approuvé par FEDRAMP), je pense que ces mesures de sécurité sont assez médiocres.

Pirates LAPSUS$

Au moment de la publication de cet article, Okta, Inc. enquêtait sur l’incident. Cependant, le PDG de la société, Todd McKinnon, a abordé le problème et a confirmé sur Twitter plus tôt dans la journée qu’il y avait eu une tentative de compromission du compte d’un ingénieur de support client tiers travaillant pour l’un de nos sous-traitants fin janvier 2022.

McKinnon pense que les captures d’écran publiées par les pirates LAPSUS$ sont liées à l’événement de janvier. D’autre part, Bill Demirkapi, un chercheur en cybersécurité qui passe par le pseudo Twitter de @BillDemirkapi a noté qu’après avoir analysé l’une des captures d’écran partagées par le groupe “il semble qu’ils ont eu accès au locataire Cloudflare avec la possibilité de réinitialiser mots de passe des employés.

Demirkapi a en outre déclaré qu’il est possible que LAPSUS $ ait obtenu tout cet accès en abusant des propres outils de contrôle à distance d’Okta qu’ils utilisent pour espionner leurs employés. Cela expliquerait des choses comme pourquoi le navigateur Chrome est connecté à un utilisateur, comme le montre l’une des captures d’écran .

Commentaires d’experts

Lors d’une conversation avec Hackread.com, Lotem Finkelsteen, chercheur en sécurité et responsable du renseignement et de la recherche sur les menaces chez Check Point, a déclaré que “si cela est vrai, la brèche chez Okta peut expliquer comment Lapsus $ a pu obtenir ses récents succès en matière de chaînes. Des milliers d’entreprises utilisent Okta pour sécuriser et gérer leurs identités. Grâce aux clés privées récupérées dans Okta, le cybergang peut avoir accès aux réseaux et applications de l’entreprise.

« Par conséquent, une brèche chez Okta pourrait avoir des conséquences potentiellement désastreuses. Si vous êtes un client Okta, nous vous invitons vivement à faire preuve d’une extrême vigilance et à adopter des pratiques de cybersécurité. L’étendue des ressources du cybergang devrait se révéler dans les prochains jours », a averti Finkelsteen.

Qu'est-ce que tu penses?

Découvrez pourquoi vos mots de passe doivent comporter au moins 8 caractères !

La nouvelle campagne de piratage de Mustang Panda cible les diplomates et les FAI