Τους τελευταίους τρεις μήνες, μια μυστηριώδης συμμορία χάκερ γνωστή ως Lapsus$, έχει πραγματοποιήσει μια σειρά από κυβερνοεπιθέσεις σε μεγάλες εταιρείες τεχνολογίας, όπως η Microsoft, η Samsung, η Nvidia, η Ubisoft και, πιο πρόσφατα, η εταιρεία επαλήθευσης ταυτότητας Okta. Σχεδόν σε όλες αυτές τις περιπτώσεις, η LAPSUS$ παραβίασε τα δίκτυα των εταιρειών και στη συνέχεια έκλεψε κομμάτια του πηγαίου κώδικα – το ψηφιακό DNA του ιδιόκτητου λογισμικού. Μετά από αυτό, η συμμορία διέρρευσε τον κώδικα σε όλο το διαδίκτυο, φέρνοντας σε δύσκολη θέση το θύμα και διαρρέοντας τα εταιρικά μυστικά.
Η οξυδέρκεια των χάκερ της ομάδας την έχει οδηγήσει στα άδυτα των εταιρειών πολλών δισεκατομμυρίων δολαρίων, αλλά σύμφωνα με το Forbes, ορισμένοι ερευνητές ασφαλείας λένε ότι η LAPSUS$ μπορεί τελικά να μην αποτελείται από εγκληματίες του κυβερνοχώρου, αλλά από ερασιτέχνες. Μάλιστα, κάποιοι από αυτούς μπορεί να είναι παιδιά!
Την Πέμπτη (24/3), οι βρετανικές αρχές ανακοίνωσαν τη σύλληψη επτά ατόμων που φέρονται να συνδέονται με τη συμμορία, η ηλικία των οποίων φέρεται να κυμαίνεται από 16 έως 21 ετών. Ο αρχηγός της συμμορίας, εν τω μεταξύ, φέρεται να είναι ένα 16χρονο παιδί από την Οξφόρδη της Αγγλίας. Την ταυτότητα του εν λόγω χάκερ, ο οποίος χρησιμοποιεί το ψευδώνυμο «White», φαίνεται να διέρρευσε στο διαδίκτυο, αντίπαλη συμμορία χάκερ.
«Σε αντίθεση με τις περισσότερες ομάδες χάκερ που διατηρούν τη μυστική τους ταυτότητα, η LAPSUS$ δεν φαίνεται να καλύπτει τα ίχνη της», ανέφεραν ερευνητές του Κέντρου Πληροφοριών Απειλών της Microsoft, σε πρόσφατη δημοσίευση στο blog της εταιρείας. «Φτάνουν στο σημείο να ανακοινώνουν τις επιθέσεις τους στα μέσα κοινωνικής δικτύωσης ή να διαφημίζουν την πρόθεσή τους να αγοράσουν διαπιστευτήρια από υπαλλήλους οργανισμών-στόχων. Η συμμορία χρησιμοποιεί επίσης διάφορες τακτικές που χρησιμοποιούνται λιγότερο συχνά από άλλους φορείς απειλών που παρακολουθεί η Microsoft», αναφέρει η ανάρτηση.
Τον Ιανουάριο, η LAPSUS$ έκανε διάφορα απάτες, όχι για να βγάλει χρήματα αλλά για να διασκεδάσει. Σε μια από αυτές, η συμμορία πραγματοποίησε κυβερνοεπίθεση σε μια βραζιλιάνικη εταιρεία ενοικίασης αυτοκινήτων, ανακατευθύνοντας την αρχική σελίδα της επιχείρησης σε έναν πορνογραφικό ιστότοπο, για αρκετές ώρες. Μια άλλη φορά, η συμμορία χάκαρε τον λογαριασμό μιας πορτογαλικής εφημερίδας και έγραψε στο Twitter: «Η LAPSUS$ ΕΙΝΑΙ ΕΠΙΣΗΜΑ Ο ΝΕΟΣ ΠΡΟΕΔΡΟΣ ΤΗΣ ΠΟΡΤΟΓΑΛΙΑΣ». Οι πρώτες αναφορές σχετικά με την LAPSUS$ προσπάθησαν να την κατηγοριοποιήσουν ως «συμμορία ransomware», εν μέρει λόγω της συνήθειάς της να διαρρέει κλεμμένα δεδομένα -όπως συνηθίζουν να κάνουν οι συμμορίες ransomware. Επιφανειακά, μπορεί να φαινόταν έτσι, αλλά υπήρχε ένα πρόβλημα: η LAPSUS$ δεν χρησιμοποίησε ποτέ ransomware. Αντίθετα, η συμμορία εκβιάζει τα θύματά της. Αντί να κρυπτογραφεί τα δεδομένα των θυμάτων της, η LAPSUS$ απλώς τα κλέβει και μετά απειλεί να τα διαρρεύσει αν δεν της καταβληθούν τα λύτρα. Πρόκειται για μια περίεργη, αδέξια παραλλαγή του μοντέλου διπλού εκβιασμού της βιομηχανίας ransomware – το οποίο χρησιμοποιεί τις διπλές απειλές της κρυπτογράφησης και της διαρροής δεδομένων για να ωθήσει τα θύματα να πληρώσουν τα λύτρα. Σε γενικές γραμμές, οι περισσότερες συμμορίες ransomware λειτουργούν σαν σκιώδεις εκδοχές τυπικών εταιρειών – χρησιμοποιώντας αρκετά οργανωμένους και εξελιγμένους ψηφιακούς μηχανισμούς για κλοπή και εκβιασμό. Η LAPSUS$ λειτουργεί σαν μια δυσλειτουργική νεοσύστατη επιχείρηση. Σε ορισμένες περιπτώσεις, έχει διαρρεύσει τα παραβιασμένα δεδομένα χωρίς να ζητήσει λύτρα. Οι ερευνητές ασφαλείας της Microsoft αναφέρθηκαν σε αυτό το στυλ ως «μοντέλο καθαρού εκβιασμού και καταστροφής», μια φράση που περιγράφει εύστοχα το χαοτικό και όχι εντελώς αποτελεσματικό modus operandi της ομάδας.
Οι ποικίλες μέθοδοι της LAPSUS$
Ένας τομέας στον οποίο η LAPSUS$ έχει σαφώς επιτύχει, είναι η παραβίαση, αν και δεν χρησιμοποιεί απαραίτητα καινοτόμες τεχνικές για να εισέλθει σε δίκτυα και συστήματα. Η ομάδα έχει αξιοποιήσει μια σειρά από γνωστές στρατηγικές, συμπεριλαμβανομένης της χρήσης ενός κακόβουλου λογισμικού κλοπής κωδικών πρόσβασης που ονομάζεται «Redline» και μιας ποικιλίας από τεχνάσματα κοινωνικής μηχανικής. Ταυτόχρονα, η συμμορία προσεγγίζει συχνά υπαλλήλους από εταιρείες-στόχους, μέσω διαδικτυακών αγγελιών που μοιάζουν με αγγελίες εργασίας.
Οι ποικίλες μέθοδοι της LAPSUS$ για να ξεγελάσει τους στόχους της ήταν αξιοσημείωτα επιτυχείς. Για παράδειγμα, η παραβίαση της Microsoft, πιστεύεται ότι έθεσε σε κίνδυνο πληθώρα δεδομένων, συμπεριλαμβανομένου του 90% του πηγαίου κώδικα της μηχανής αναζήτησης Bing, καθώς και σχεδόν το ήμισυ του πηγαίου κώδικα των χαρτών Bing Maps και της εικονικής βοηθού Cortana. Η επίθεση της συμμορίας στην Okta, εν τω μεταξύ, μπορεί να αποδειχθεί ότι έχει επιπτώσεις για εταιρείες πέραν της ίδιας της εταιρείας επαλήθευσης ταυτότητας. Επειδή η Okta πωλεί τις υπηρεσίες ασφαλείας της σε χιλιάδες άλλες εταιρείες, μια παραβίαση των συστημάτων της μπορεί να έχει επιπτώσεις στην ασφάλεια και για τους πελάτες της. Σε μια ενημέρωση την προηγούμενη εβδομάδα, η Okta παραδέχθηκε ότι τα δεδομένα 366 πελατών της είχαν ενδεχομένως παραβιαστεί από την LAPSUS$.
Η συμμορία, εν τω μεταξύ, έχει χρησιμοποιήσει το Telegram και άλλες πλατφόρμες κοινωνικής δικτύωσης ως ένα είδος μεγαφώνου – μια στρατηγική που της επέτρεψε να καλλιεργήσει μια πιο δυνατή και πιο διαδραστική σχέση με το κοινό. Η συμμορία έχει σήμερα περίπου 48.000 ακολουθους στο Telegram τους οποίους ενθαρρύνει να σχολιάζουν τις διαρροές, να αλληλογραφούν με τα μέλη της μέσω ηλεκτρονικού ταχυδρομείου και γενικά να παρακολουθούν τις κυβερνοεπιθέσεις.
Αυτή η συμπεριφορά φαίνεται να αποκαλύπτει ότι τα μέλη της LAPSUS$ θέλουν να αποσπάσουν την προσοχή. Ίσως αυτό να είναι και το πρόβλημα της ομάδας: όπως πολλοί αρχάριοι εγκληματίες, φαίνεται να ενδιαφέρονται περισσότερο για την αδρεναλίνη και τα φώτα της δημοσιότητας παρά για τη λειτουργία μιας αποτελεσματικής επιχείρησης που τους αποφέρει χρήματα.
«Τα κίνητρά τους δεν είναι τόσο σαφώς καθορισμένα»
Οι αναλυτές κυβερνοασφάλειας που μίλησαν στο Gizmodo συμφωνούν ότι, παρά τη λίστα με τις εντυπωσιακές και επιτυχημένες κυβερνοεπιθέσεις, κάποια από τη συμπεριφορά της συμμορίας δείχνει ξεκάθαρα έλλειψη αποτελεσματικότητας και οργάνωσης. «Αν οι επιθέσεις είχαν πραγματοποιηθεί από μια πιο οργανωμένη συμμορία χάκερ ή από έναν φορέα υποστηριζόμενο από κάποιο κράτος, το αποτέλεσμα θα μπορούσε να είναι πολύ χειρότερο», δήλωσε ο Μπρετ Κάλοου, αναλυτής απειλών για την εταιρεία κυβερνοασφάλειας Emsisoft, στο Gizmodo. «Αυτό δεν σημαίνει ότι υποβαθμίζουμε την απειλή που μπορούν να αντιπροσωπεύουν ομάδες όπως η LAPSUS$. Το γεγονός ότι τα κίνητρά τους δεν είναι τόσο σαφώς καθορισμένα όσο άλλων συμμοριών χάκερ, μπορεί να καταστήσει δυσκολότερη την αντιμετώπισή τους». Τον Ιανουάριο, οι αντίπαλοι του φερόμενου ως χάκερ δημοσίευσαν το πραγματικό του όνομα μαζί με άλλα προσωπικά δεδομένα του, μέσω του Doxbin, ενός αμφιλεγόμενου ιστότοπου που χρησιμοποιείται ειδικά για τη διαρροή προσωπικών δεδομένων ατόμων. Κάποιοι χρήστες έγραψαν στον ιστότοπο ότι ο White έχει πάνω από 300 Bitcoins, τα οποία αντιστοιχούν σε καθαρή αξία σχεδόν 14 εκατομμυρίων δολαρίων.
ΠΗΓΗ: Gizmodo