Nhóm Hacker Lapsus$ làm rò rỉ 37GB mã nguồn của Microsoft

Nhóm hack Lapsus$ tuyên bố đã làm rò rỉ mã nguồn của Bing, Cortana và các dự án khác bị đánh cắp từ máy chủ Azure DevOps nội bộ của Microsoft.

Sáng sớm Chủ nhật, nhóm Lapsus$ đã đăng một ảnh chụp màn hình lên kênh Telegram của họ cho thấy rằng họ đã tấn công máy chủ Azure DevOps của Microsoft chứa mã nguồn cho Bing, Cortana và nhiều dự án nội bộ khác.

Ảnh chụp màn hình tài khoản Azure DevOps của Microsoft bị rò rỉ bởi Lapsus$

Các dự án mã nguồn bị rò rỉ

Các nhà nghiên cứu bảo mật đã nghiên cứu các tệp bị rò rỉ và nói với BleepingComputer rằng chúng có vẻ là mã nguồn nội bộ hợp pháp của Microsoft,  một số dự án bị rò rỉ có chứa email và tài liệu rõ ràng đã được các kỹ sư của Microsoft sử dụng nội bộ để xuất bản ứng dụng di động. Các dự án dường như dành cho cơ sở hạ tầng dựa trên web, trang web hoặc ứng dụng di động, không có mã nguồn cho phần mềm máy tính để bàn của Microsoft được phát hành, bao gồm Windows, Windows Server và Microsoft Office. Microsoft cho biết rằng họ đã nắm được vấn đề và đang tiến hành điều tra.

Lapsus$ rò rỉ dữ liệu trái và phải

Lapsus$ là một nhóm hacker tống tiền xâm nhập dữ liệu vào hệ thống của công ty để lấy cắp mã nguồn, danh sách khách hàng, cơ sở dữ liệu và các dữ liệu có giá trị khác. Sau đó, chúng cố gắng tống tiền nạn nhân với yêu cầu tiền chuộc nếu không đồng ý, nhóm sẽ rò rỉ công khai dữ liệu.

Trong vài tháng qua, Lapsus$ đã tiết lộ nhiều cuộc tấn công mạng nhắm vào các công ty lớn, với các cuộc tấn công đã được xác nhận nhằm vào NVIDIA, Samsung, Vodafone, Ubisoft và Mercado Libre.

Cho đến nay, hầu hết các cuộc tấn công đều nhắm mục tiêu đến các kho mã nguồn, cho phép các tác nhân đe dọa đánh cắp dữ liệu độc quyền, nhạy cảm, chẳng hạn như công nghệ Lite Hash Rate (LHR) của NVIDIA cho phép card đồ họa giảm khả năng khai thác của GPU.

Không biết bằng cách nào mà các hacker đột nhập được vào các kho lưu trữ này, nhưng một số chuyên gia an ninh mạng tin rằng chúng đã trả tiền cho những người trong công ty để có quyền truy cập.

Nhà phân tích tình báo về mối đe dọa Tom Malka đã nói với BleepingComputer: "Theo quan điểm của tôi, chúng tiếp tục có được quyền truy cập bằng cách sử dụng nội gián của công ty". Giả thuyết này không quá phi lý, vì trước đây Lapsus$ đã tuyên bố rằng họ sẵn sàng mua quyền truy cập mạng lưới từ nhân viên các doanh nghiệp.

Lapsus $ tuyển dụng nội bộ của công ty

Tuy nhiên, có thể còn hơn thế nữa vì Lapsus$ đã đăng ảnh chụp màn hình về quyền truy cập của họ vào các trang web nội bộ của Okta. Bởi vì Okta là một nền tảng quản lý danh tính và xác thực, nếu Lapsus$ xâm nhập thành công công ty, họ có thể sử dụng nó làm bàn đạp tiếp xúc với khách hàng của công ty.

Lapsus$ có lượng người theo dõi lớn trên Telegram, với hơn 33.000 người đăng ký trên kênh chính và hơn 8.000 trên kênh chat của họ. Nhóm tống tiền cũng rất tích cực sử dụng các kênh Telegram của họ để thông báo về các vụ rò rỉ, tấn công mới và chat với người hâm mộ của họ, và họ dường như đang tận hưởng tai tiếng. Với việc diễn đàn vi phạm dữ liệu RaidForums bị đóng cửa, chúng ta có thể thấy nhiều nhân viên chính quy từ trang web đó hiện đang tương tác với nhau trong các kênh Telegram của Lapsus$.

Hiện tại, chúng ta có khả năng sẽ thấy nhiều vụ vi phạm hơn trong khi Lapsus$ và người hâm mộ của họ ăn mừng vụ rò rỉ dữ liệu.

Nguồn: Bleepingcomputer.com