Marrakech, 23 mars. (Maroc-Actu) –
Microsoft a confirmé le vol du code source de certains services de la société technologique, revendiqué il y a quelques jours par un groupe de cybercriminels se faisant appeler LAPSUS$, qu’ils ont partagé sur leur site web. via Telegram, après avoir réussi à compromettre un des comptes de l’entreprise.
Dimanche dernier, LAPSUS$ a posté une capture d’écran via cette application de messagerie dans laquelle il a prétendu avoir accédé aux référentiels de Microsoft en piratant un serveur Azure DevOps, un ensemble d’outils pour les développeurs.
Le groupe de pirates a ensuite affirmé avoir volé 90 % des données de Bing Maps et 45 % des données appartenant au moteur de recherche de Microsoft, Bing, et à son assistant, Cortana.
Cette violation de données est intervenue après que le même groupe de cybercriminels a revendiqué le vol de plusieurs certificats de signature électronique auprès de l’Office national de l’énergie. Développeurs Nvidia et à partir des informations internes de Samsung.
Ces derniers jours, Microsoft a observé une activité attribuée au groupe LAPSUS$, que la société suit sous le nom de DEV-0537, et qui est connu pour utiliser des « un modèle d’extorsion et la destruction sans mettre en œuvre les charges utiles des ransomwares », a-t-il déclaré dans un communiqué.
Après avoir enquêté sur l’attaque, le développeur de logiciels a déclaré que « aucun code client ou de données a été impliqué dans les activités observées » et réalisées par DEV-0537.
Elle a ainsi déterminé qu’un seul de ses comptes a été compromis et que ses équipes de sécurité ont pu limiter l’attaque pour empêcher la poursuite des activités des cybercriminels.
Et elle a minimisé l’importance du vol de code source. « Microsoft ne s’appuie pas sur le secret du code comme mesure de sécurité et la consultation du code source n’entraîne pas de risque accru », indique le communiqué.
Elle a également précisé que l’équipe chargée de protéger la sécurité de ses données enquêtait déjà sur le compte compromis » e « .sur la base du renseignement sur les menaces« quand LAPSUS$ a révélé publiquement son intrusion via Telegram.
L’EXPANSION RAPIDE DE LAPSUS$
En outre, Microsoft a expliqué comment le groupe, qui a commencé à s’attaquer à des organisations au Royaume-Uni et en Amérique du Sud avant de s’étendre, ainsi que certains de ses membres, se sont comportés. « objectifs globaux ».
Parmi ces cibles figurent « notamment des organisations dans les secteurs du gouvernement, de la technologie, des télécommunications, des médias, du commerce de détail et des soins de santé ».
Cependant, il a insisté sur le fait que DEV-0537 a également ciblé des utilisateurs anonymes dans la les échanges de crypto-monnaies et a mentionné certaines des méthodes qu’il utilise pour pénétrer dans ces appareils.
Il s’agit notamment de l’ingénierie sociale par téléphone, de l’échange de cartes SIM pour faciliter la prise de contrôle de comptes, de l’accès à des courriels personnels ou payer les fournisseurs et les partenaires commerciaux des organisations cibles pour accéder aux informations d’identification et aux approbation de l’authentification multifactorielle (AMF).
Le cas échéant, le centre de renseignement Centre de renseignements sur les menaces de Microsoft (MSTIC) a déterminé que l’objectif de DEV-0537 est d’accéder à vos données par le biais d’informations d’identification volées et qu’il s’agit d’un « acteur motivé par le vol et la destruction ».
Elle a également constaté que les tactiques, techniques et procédures (TTP) de ce groupe « changent et évoluent constamment », a détecté un certain nombre de paramètres dans leur comportement pour compromettre les identités des utilisateurs et obtenir un libre accès à différentes organisations susceptibles d’être attaquées.
Parmi ces méthodes figure la mise en œuvre du voleur de mots de passe. Redline, l’achat d’identifiants et de jetons sur des forums illégaux, le paiement des employés des organisations ciblées et leur approbation par l’AMF, ainsi que la recherche de dépôts de code publics pour des mots de passe exposés.
Une fois ces informations d’identification volées, DEV-0537 accède aux systèmes et aux applications qui comprennent généralement un réseau privé virtuel (VPN), une infrastructure de bureau virtuel (VDI), telle que Citrix, ou des fournisseurs d’identité (notamment Azure Active Directory et Okta).
Pour les organisations utilisant la sécurité MFA, DEV-0537 a déjà utilisé deux techniques pour contourner son système de sécurité : la réplication des jetons de session et l’utilisation de mots de passe volés.
Grâce à ce vol, elle a pu activer la envoi d’avertissements de l’AMF afin que les utilisateurs légitimes des comptes compromis, ignorant la manipulation de ce système d’authentification, accordent l’autorisation nécessaire.
Dans certains cas, LAPSUS$ a accédé aux comptes personnels des victimes et les a invitées à saisir des informations d’identification supplémentaires qui pourraient être utilisées pour accéder aux systèmes de l’entreprise ou à leurs comptes professionnels.
Comme les employés utilisent généralement ces comptes personnels comme second facteur d’authentification ou de récupération de mot de passe, les attaquants ont utilisé ces identifiants pour les réinitialiser et compléter le système de récupération de compte avec de nouvelles informations d’identification.
Une autre méthode courante utilisée par les cybercriminels est la la corruption d’employés, de fournisseurs ou de partenaires les partenaires commerciaux d’une organisation qui, moyennant une rémunération déterminée, fournissent leurs informations d’identification et approuvent l’authentification multifactorielle.
En outre, elle leur a également proposé de télécharger et d’installer sur leurs ordinateurs des applications de contrôle à distance, telles que AnyDesk, qui leur permettraient de contrôler le système.
Dans une autre attaque observée, Microsoft a noté que les acteurs de DEV-0537 ont mené une attaque de Échange de cartes SIM pour accéder au numéro de téléphone d’un utilisateur avant de se connecter à son travail ou au réseau de l’entreprise.
Cette méthode permet aux acteurs de gérer les demandes d’authentification téléphonique dont ils ont besoin pour accéder à une organisation. Ainsi, une fois les informations d’identification de l’utilisateur ou l’accès standard obtenus, les attaquants ont pu accéder au système VPN de ces organisations.
Pour contourner les systèmes de sécurité, dans certains cas, DEV-0537 a joint son système au service de gestion des identités et des accès basé sur le cloud, Azure Active Directory (Azure AD) les sociétés visées.
Enfin, Microsoft a souligné que, lors de ses enquêtes, elle a constaté que LAPSUS$ utilise. AD Explorerun outil gratuit et libre d’accès, dans la plupart de ses attaques.
Il s’agit d’un indicateur qui permet de visualiser, de modifier et de parcourir des bases de données, que les cybercriminels auraient utilisées pour répertorier et reconnaître chacun des utilisateurs des réseaux attaqués.
Grâce à elle, ils peuvent comprendre quels sont les comptes qui bénéficient des privilèges les plus élevés, comme ceux des dirigeants ou des administrateurs de ces entreprises.
En outre, ils ont procédé à la recherche de plateformes de collaboration telles que. SharePoint o Confluencedes solutions de suivi des problèmes telles que JIRA, des dépôts de code tels que GitLab y GitHubet les canaux de collaboration d’organisations telles que Équipes o Slack pour découvrir plus d’informations d’identification et de données afin d’accéder à des informations sensibles.
