لقد كان أسبوعًا حافلًا بالقرصنة والابتزاز الجماعي Lapsus$. لقد سربت أولاً ما زعمت أنها معلومات حساب الموظف من LG Electronics، بالإضافة إلى كود المصدر لمجموعة متنوعة من منتجات Microsoft.
بعد ساعات قليلة، أصدرت المجموعة أيضًا لقطات شاشة تشير إلى أنها خرقت شركة إدارة الهوية والوصول Okta. انتشرت أخبار الاختراق المحتمل بسرعة على الإنترنت.
يوفر Okta خدمة تسجيل دخول واحد للمؤسسات الكبيرة التي تسمح للموظفين بتسجيل الدخول إلى أنظمة متعددة دون الحاجة إلى كلمة مرور مختلفة لكل منها. قد يكون لاختراق Okta آثار خطيرة محتملة على العملاء.
بعد ساعات قليلة، أصدرت المجموعة أيضًا لقطات شاشة تشير إلى أنها خرقت شركة إدارة الهوية والوصول Okta. انتشرت أخبار الاختراق المحتمل بسرعة على الإنترنت.
يوفر Okta خدمة تسجيل دخول واحد للمؤسسات الكبيرة التي تسمح للموظفين بتسجيل الدخول إلى أنظمة متعددة دون الحاجة إلى كلمة مرور مختلفة لكل منها. قد يكون لاختراق Okta آثار خطيرة محتملة على العملاء.
رد Okta
نشرت أوكتا Okta بيانًا أوليًا صباح الثلاثاء، يشير إلى أن لقطات الشاشة Lapsus$ التي تم إصدارها جاءت من "محاولة اختراق حساب مهندس دعم عملاء تابع لجهة خارجية يعمل لدى أحد معالجاتنا الفرعية" والتي حدثت في شهر يناير من هذا العام.
بيان ثان من David Bradley، كبير مسؤولي الأمن في Okta، قدم مزيدًا من التفاصيل حول "المحاولة الفاشلة unsuccessful attempt" لخرق حساب مهندس الدعم.
أثناء طمأنته العملاء بأن "خدمة Okta لم يتم اختراقها ولا تزال تعمل بكامل طاقتها"، اعترف أيضًا أن التحقيق خلص إلى أن "هناك فترة زمنية مدتها خمسة أيام بين 16 و 21 يناير 2022، حيث تمكن المهاجم من الوصول إلى كمبيوتر محمول لمهندس دعم". ومع ذلك، أصر Bradley على أن "التأثير المحتمل لعملاء Okta يقتصر على الوصول الذي يتمتع به مهندسو الدعم"، مشيرًا على وجه الخصوص إلى أن مجموعة القرصنة لا يمكنها تنزيل بيانات العملاء وليس لديها إمكانية الوصول إلى كلمات المرور.
قدم Bill Demirkapi الباحث الأمني المستقل مزيدًا من التفاصيل، وأوضح أن مهندس الدعم التابع لجهة خارجية يبدو أنه يعمل لصالح شركة SYKES Enterprises, Inc، التي أكدتها Okta الآن، وأنه "باستخدام الوصول الذي يتمتع به فريق الدعم هذا، تمكن Lapsus$ من اختراق Slack الداخلي لـ Okta، و Jira، ولوحة الوصول الإدارية الخلفية backend administrative access panel المستخدمة لمساعدة العملاء". وأضاف أنه "في هذا الوقت، لا يبدو أن Lapsus$ لا يزال بإمكانه الوصول إلى بيئة Okta".
بعد ظهر يوم الثلاثاء، ردت Lapsus$ على بيان برادلي في قناتها على Telegram، معارضة وصفه للهجوم بأنه "غير ناجح". وادعى Lapsus$ أيضًا أن Okta كان يخزن مفاتيح AWS في Slack وطالب الشركة بالخروج لانتظار فترة طويلة لإعلام المستخدمين بحادث يناير.
في منشور منفصل، وضع برادلي جدولًا زمنيًا للحادث وتناول إشارة Lapsus$ السابقة إلى بوابة "المستخدم المتميز superuser"، وأغلق الادعاءات بأن هذا أعطى المجموعة وصولاً كاملا إلى حسابات العملاء. بدلاً من ذلك، أوضح برادلي أن بوابة المستخدم المتميز "عبارة عن تطبيق تم إنشاؤه مع مراعاة أقل الامتيازات لضمان منح مهندسي الدعم فقط الوصول المحدد الذي يحتاجونه لأداء أدوارهم".
واجهت Okta انتقادات، من كل من Lapsus$ وصناعة الأمن، لعدم الكشف عن حادثة يناير عاجلاً. مما لا يثير الدهشة، أن هذا الانتهاك قد جعل المستثمرين قلقين، مما أدى إلى انخفاض سعر سهم Okta، فضلاً عن خفض تصنيف شركة Raymond James Equity Research.
من هو Lapsus$؟
على الرغم من الفوضى التي تسبب فيها أعضاؤها هذا الأسبوع، فإن Lapsus$ جديد نسبيًا على ساحة الجرائم الإلكترونية. ظهرت مجموعة القرصنة الجماعية لأول مرة في نهاية العام الماضي، لكنها انتهكت بالفعل الأسماء الكبيرة، بما في ذلك Microsoft و Nvidia و Samsung و Ubisoft.
يوم الثلاثاء، نشرت Microsoft تقريرًا عن Lapsus$، مشيرة إلى أن المجموعة غير تقليدية، لأنها تبث أنشطتها على وسائل التواصل الاجتماعي وتوظف بشكل علني موظفين على استعداد لمنحهم حق الوصول إلى الشركات التي يريدون اختراقها.
أثناء اكتساب معجبين عبر الإنترنت للمجموعة، يعمل وجود Lapsus$ على وسائل التواصل الاجتماعي على حسابها أيضًا. جعل Lapsus$ الهجوم على Microsoft معروفًا على وسائل التواصل الاجتماعي أثناء حدوثه، والذي قالت Microsoft إنه "صعد من إجراءاتنا مما سمح لفريقنا بالتدخل ومقاطعة الممثل في منتصف العملية، مما حد من التأثير الأوسع".
ذكرت بلومبرج Bloomberg يوم الأربعاء أنه يعتقد أن اثنين من أعضاء Lapsus$ من المراهقين، أحدهما يعيش بالقرب من أكسفورد في المملكة المتحدة والآخر في البرازيل. تم التعرف على المراهق البريطاني، المعروف باسمي "White" و "Breachbase"، من قبل باحثين في مجال الأمن السيبراني في وقت مبكر من منتصف عام 2021 بعد ترك سلسلة من المعلومات عن نفسه على الإنترنت. كما تم الاستغناء عنه من قبل قراصنة آخرين، الذين ادعوا أن لديه ما يقرب من 14 مليون دولار من العملات المشفرة.
يوم الخميس، ذكرت بي بي سي BBC أن شرطة لندن ألقت القبض على سبعة أشخاص تتراوح أعمارهم بين 16 و 21 عامًا كجزء من تحقيق يتعلق بـ Lapsus$، على الرغم من أنه ليس من الواضح ما إذا كان المراهقون الذين ذكرتهم بلومبرج كانوا من بين المعتقلين. وأطلق سراح السبعة منذ ذلك الحين قيد التحقيق.
على الرغم من صغر سنهم، فإن الأعضاء المراهقين في Lapsus$ على دراية كبيرة. وكما لاحظت Microsoft، فإن Lapsus$ "تتفهم الطبيعة المترابطة للهويات وعلاقات الثقة في النظم الإيكولوجية للتكنولوجيا الحديثة وتستهدف الاتصالات السلكية واللاسلكية والتكنولوجيا وخدمات تكنولوجيا المعلومات وشركات الدعم للاستفادة من وصولها من مؤسسة واحدة للوصول إلى المنظمات الشريكة أو الموردة".
كيف يمكن للشركات حماية نفسها
احتوى تقرير Microsoft على نصائح للشركات حول كيفية حماية نفسها من هجمات Lapsus$. وأشار التقرير إلى أن "المصادقة متعددة العوامل (MFA) multifactor authentication هي أحد خطوط الدفاع الأساسية ضد" مجموعة القرصنة الجماعية. لكنها شددت أيضًا على أن الأساليب غير الآمنة، مثل أسلوب MFA المستند إلى الرسائل القصيرة، ليست كافية، نظرًا لأن Lapsus$ قد انخرط في هجمات تبديل بطاقة SIM للوصول إلى رموز SMS MFA.
نظرًا لأن Lapsus$ غالبًا ما يسرق أوراق الاعتماد عبر الهندسة الاجتماعية، فقد أوصت Microsoft أيضًا بزيادة وعي الموظفين حول هذه الأنواع من الهجمات. تضمنت الاقتراحات الأخرى استخدام "خيارات المصادقة الحديثة" لشبكات VPN، والتأكد من أن قنوات الاتصال للاستجابة للحوادث "تتم مراقبتها عن كثب للحضور غير المصرح لهم" في حالة محاولة Lapsus$ التسلل.
بالإضافة إلى ذلك، قدمت Microsoft مجموعة من الموارد التي يمكن للشركات استخدامها للمساعدة في "الكشف، والصيد، والاستجابة" للهجمات من Lapsus$ أو المجموعات التي تحاكي نفس الأساليب.
