.
Getty Images
Um bando de hackers amadores, muitos deles adolescentes com pouco treinamento técnico, tem sido tão hábeis em violar grandes alvos, incluindo Microsoft, Okta, Nvidia e Globant, que o governo federal está estudando seus métodos para obter uma melhor base em segurança cibernética. .
O grupo, conhecido como Lapsus$, é um grupo vagamente organizado que emprega técnicas de hacking que, embora decididamente pouco sofisticadas, provaram ser altamente eficazes. O que falta ao grupo em exploração de software, sobra em persistência e criatividade. Um exemplo é sua técnica para contornar a MFA (autenticação multifator) em organizações bem defendidas.
Estudando o manual de hacking Lapsus$
Em vez de comprometer a infraestrutura usada para fazer vários serviços de MFA funcionarem, como fazem grupos mais avançados, um líder da Lapsus$ no ano passado descreveu sua abordagem para derrotar o MFA desta forma: “Ligue para o funcionário 100 vezes à 1 da manhã enquanto ele está tentando dormir e ele provavelmente aceitará. Depois que o funcionário aceitar a chamada inicial, você poderá acessar o portal de inscrição do MFA e inscrever outro dispositivo.”
Na quinta-feira, o Conselho de Revisão de Segurança Cibernética do Departamento de Segurança Interna divulgou um relatório que documentou muitas das táticas mais eficazes do manual Lapsus$ e instou as organizações a desenvolverem contramedidas para evitar que tenham sucesso.
Como alguns outros grupos de ameaças tecnicamente mais avançados, o Lapsus$ “demonstrou habilidade em identificar pontos fracos no sistema – como fornecedores downstream ou provedores de telecomunicações – que permitiram o acesso posterior às vítimas pretendidas”, escreveram os funcionários no relatório de 52 páginas. “Eles também mostraram um talento especial para a engenharia social, atraindo os funcionários de um alvo para essencialmente abrir os portões para a rede corporativa.”
A lista de alvos violados pela Lapsus$ ou cujos dados proprietários foram roubados pela Lapsus$ por meio de hacks de terceiros é surpreendentemente extensa para um grupo que operou por pouco mais de um ano e cuja principal motivação parecia ser a fama. Os destaques dos feitos do grupo e práticas não convencionais são:
- Uma campanha de phishing que usou bombardeio de MFA e outras técnicas não sofisticadas violou com sucesso o provedor de MFA Twilio, com sede em São Francisco, e quase violou a rede de entrega de conteúdo Cloudflare, não fosse pelo uso deste último de MFA compatível com o padrão FIDO2 da indústria.
- A violação da rede corporativa da Nvidia e suposto roubo de 1 terabyte de dados da empresa. Em troca de Lapsus$ não vazar todo o processo, o grupo exigiu que a Nvidia permitisse que suas placas gráficas extraíssem criptomoedas mais rapidamente e tornassem seus drivers de GPU de código aberto.
- A postagem de dados proprietários da Microsoft e do provedor de logon único Okta, que a Lapsus$ disse ter obtido após invadir os sistemas das duas empresas.
- A violação de rede do provedor de serviços de TI Globant e a postagem de até 70 gigabytes de dados pertencentes à empresa.
- As supostas múltiplas violações em março de 2022 da T-Mobile. Os hacks supostamente usaram uma técnica conhecida como troca de SIM – na qual os agentes de ameaças enganam ou pagam o pessoal da operadora de telefonia para transferir o número de telefone de um alvo para um novo cartão SIM. Quando o grupo foi bloqueado em uma conta, ele realizou uma nova troca de SIM em um funcionário diferente da T-Mobile.
- Invadir o Ministério da Saúde do Brasil e deletar mais de 50 terabytes de dados armazenados nos servidores do ministério.
- A segmentação mais bem-sucedida de muitas organizações adicionais, incluindo, de acordo com a empresa de segurança Flashpoint, Vodafone Portugal, Impresa, Confina, Samsung e Localiza.
Outras táticas de baixa habilidade que se mostraram particularmente eficazes foram a compra pelo grupo de cookies de autenticação e outras credenciais de corretores de acesso inicial.
Os autores do relatório de quinta-feira escreveram:
O Lapsus$ chamou a atenção dos profissionais de segurança cibernética e da imprensa quase imediatamente após fornecer transparência incomparável sobre o funcionamento interno de como ele visava organizações e indivíduos, organizava seus ataques e interagia consigo mesmo e com outros grupos de ameaças. Sua mentalidade estava em plena exibição para o mundo ver e Lapsus$ deixou claro o quão fácil era para seus membros (juvenis, em alguns casos) se infiltrarem em organizações bem defendidas. Lapsus$ parecia funcionar em vários momentos por notoriedade, ganho financeiro ou diversão, e misturava uma variedade de técnicas, algumas mais complexas que outras, com lampejos de criatividade. Mas o Lapsus$ não se enquadrava na categoria de agente de ameaça que ocupa a maioria das manchetes: o agente de ameaça de estado-nação com táticas ofensivas com bons recursos que se escondem nos bastidores por anos a fio ou os grupos transnacionais de ransomware que custam o dinheiro global bilhões de dólares da economia. Na verdade, a Lapsus$ não usou o tipo de novas técnicas de dia zero que a indústria está acostumada a ver com frequência nos noticiários.
O relatório contém uma variedade de recomendações. A chave entre eles está mudando para sistemas de autenticação sem senha, que presumivelmente se referem a senhas, com base no FIDO2. Como todas as ofertas FIDO2, as chaves de acesso são imunes a todos os ataques de phishing de credenciais conhecidos porque o padrão exige que o dispositivo que fornece MFA não esteja a mais do que alguns metros de distância do dispositivo que faz login.
Outra recomendação é que a Comissão Federal de Comunicações e a Comissão Federal de Comércio reforcem os regulamentos relativos à portabilidade de números de telefone de um SIM para outro para reduzir a troca de SIM.
“As organizações devem agir agora para se proteger, e o Conselho identificou maneiras tangíveis de fazê-lo, com a ajuda do governo dos EUA e das empresas mais bem preparadas para fornecer soluções seguras por padrão para melhorar todo o ecossistema”, diz o relatório. autores escreveram. “Muitas das recomendações do Conselho vêm dentro do tema mais amplo de ‘segurança por design’, refletindo a conversa mais ampla da indústria, incluindo os esforços Secure by Design da Agência de Segurança Cibersegurança e Infraestrutura (CISA).
.
