فقط چند رو پس از دستگیری هفت نفر از گروه هکرهای Lapsus$ توسط پلیس بریتانیا به اتهام به ارتباط با هک و اخاذی از شرکتها بزرگ، این گروه به آخرین قربانی خود حمله کرده است.
Lapsus$ که قربانیان اخیر آن شامل شرکتهای معروف Okta، Nvidia، Microsoft و سامسونگ بودهاند، در حال حاضر مدعی است که Globant که شرکت مشاورهی توسعهی نرمافزار مستقر در لوکزامبورگ است را هک کرده است. پس از اینکه در هفتهی گذشته این گروه اعلام کرد اعضای آن قصد دارند مدتی به تعطیلات بروند، دوباره اعلام کردند که از تعطیلات باز گشتهاند و در روز چهارشنبه فایل تورنت 70 گیگابایتب را در کانال تلگرام خود منتشر کردند. در فایلی که منتشر شده است، Lapsus$ مدعی است این اطلاعات که از Globant بهسرقت رفته است و شامل کد منبع مشتریان این شرکت است.
گلوبانت به نشریهی TechCrunch خاطرنشان کرده است که تشخیص داده است بخش محدودی از منابع کدهای این شرکت در دسترس مهاجمی غیرمجاز قرار گرفته است و هنوز مشغول به انجام تحقیقات هستند.
همچنین، هکرها فهرستی را از اعتبارنامهی شرکت، برای دسترسی به پلتفرمهای اشتراکگذاری و کدهای منابع از جمله، Jira، GitHub، Crucible و Confluence را منتشر کردهاند. گروه تحقیقاتی بدافزار VX-Undergroundِ، اسکرینشاتهای ویرایششدهای را از پست تلگرام این هکرها را در توییتر منتشر کرد و نشان میدهد که این گروه آنچه را که آنها گذرواژهههای گلوبانت ادعا کردهاند، منتشر کردهاند و در صورت تأیید، بهراحتی توسط مهاجمین قابل حدس زدن است.
پیش از انتشار فایل تورنت در کانال تلگرام این هکرها، Lapsus$ همچنین اسکرینشاتهایی از فهرست قابلها را بهاشتراک گذشت که حاوی نام چندین شرکت است که گمان میرود مشتریان گلوبان هستند. برخی از اینها شامل فیسبوک، سیتی بانک و سی اسپان هستند.
لازم به ذکر است که گلوبانت تعدادی از مشتریان برجسته را در وبسایت خود فهرست میکند. تعدادی از این مشتریان متروپولیتن بریتانیا، خانهی نرمافزار Autodesk و غول بازیهای الکترونیک آرتز هستند. حداقل یکی از اعضای گروه Lapsus$ در سال گذشته با نقض دادهها در Electronic Arts دست داشته است. اگرچه هنوز مشخص نیست که آیا این حوادث بههم مرتبط هستند یا خیر.
Lapsus$ به مدیران سیستم نیز رحم نکرد و رمزعبورهای آنها و بسیاری موارد دیگر را در معرض خطر فاش شدن قرار داد. رمز عبورهای آنها سانسور شدهاند اما با اینحال، گویا این رمزعبورها بهآسانی قابل حدس زدن هستند و چندین بار استفاده میشوند.
SOS Intelligence که ارائهدهندهی اطلاعات تهدیدات مستقر در بریتانیا است و دادههای فاششده را تجزیه و تحلیل میکند، به نشریهی TechCrunch گفته است:
تا آنجایی که به مشتریان گلوبانت مربوط میشود، این نشت داده قانونی است و اهمیت زیادی دارد.
امیر هادزیپاسیک، مدیر اجرایی ارائهدهندهی اطلاعات می گوید که این دادهها شامل مقدار زیادی از کدهای منابع GitHub هستند که بهنظر میرسد متعلق به Globant هستند. برخی دیگر از این دادهها همراه با تعدادی از منابع حاوی اطلاعات بسیار حساس هستند و شامل مواردی همانند کلیدهای خصوصی گواهی TLS و زنجیرهی Azure هستند. کلیدها و کلیدهای API برای خدمات شخص ثالث مورد استفاده قرار میگیرند. SOS Intelligence، مجموعهای از حدود 7000 رزومهی نامزد، بیش ا 150 پایگاه داده و تعداد زیادی کلیدهای خصوصی برای تعدادی از خدمات متفاوت را پیدا کرده است.
Autodesk تأیید کرد که مشغول بررسی این حادثه است. با اینحال، هیچ مشتری دیگری از Globant هنوز پاسخی نداده است.
این نقض که اخیراََ پیش آمده است چند روز پس از اینکه پلیس بریتانیا هفت نفر از این گروه را دستگیر کرد و همگی میان 16 تا 21 سال سن داشتند، اتفاق افتاده است. Lapsus$ در پاسخ به سؤالاتی که مربوط به دستگیریها بوده است، گفته است که عضوی از این باند دستگیر نشده است.