در ابتدای هفته، گزارشها و نشانههایی وجود داشت که خبر از این میداد گروه هکری Lapsus$ موفق شده است برخی از حسابهای DevOps مایکروسافت را به خطر بیاندازند.
این گروه هکری مسئولیت این حمله را بر عهده گرفت و حتی یک اسکرینشات در تلگرام منتشر کرد تا ادعای خود را ثابت کند و تأیید کند که واقعاً آنها کسانی بودند که در پشت این حمله بودند.
گفته میشود که همان هکرها نیز پشت حملات یوبیسافت و سامسونگ نیز هستند. چند روز پیش، هکرها تورنتی را فاش کردند که حاوی کد منبع بیش از 250 پروژه بود که ادعا میکردند متعلق به مایکروسافت است.
اکنون، مایکروسافت از طریق یک پست وبلاگی به این موضوع پرداخته و تایید کرده است که گروه هکری معروف به DEV-0537 توانسته است سیستمهای آنها را به خطر بیاندازد. تنها یک حساب کاربری توسط هکرها نقض شد که به آنها دسترسی محدودی داد؛ با این حال، حمله به سرعت توسط تیم امنیت سایبری کاهش یافت تا از آسیب بیشتر جلوگیری شود.
مایکروسافت معتقد است که هکرها بر اساس تحقیقاتی که انجام داده بودند، به هیچ کد یا اطلاعات مشتری دسترسی نداشتند. در واقع، مایکروسافت میگوید Lapsus$ از مهارتهای مهندسی اجتماعی خود برای به دستآوردن اطلاعات مورد نیاز این حمله و حملههای دیگر استفاده کرده است. چنین اقداماتی شامل ارسال هرزنامه به کاربر هدف با درخواستهای احراز هویت چند عاملی (MFA) و حتی تماس با پشتیبانی مایکروسافت برای تنظیم مجدد رمزعبور و موارد دیگر یک حساب کاربری است.
مرکز اطلاعات تهدید مایکروسافت (MSTIC) ارزیابی میکند که هدف DEV-0537 دستیابی به دسترسی بالا از طریق اعتبارنامههای سرقت شده است که امکان سرقت دادهها و حملات مخرب علیه یک سازمان هدف را فراهم میکند و این اعتارنامهها اغلب منجر به اخاذی از آن شرکت میشوند. تاکتیکها و اهداف این گروه نشان میدهد که DEV-0537 یا همان Lapsus$، یک بازیگر مجرم سایبری باانگیزه سرقت و تخریب است.
مایکروسافت طی تحقیقاتی اشاره میکند که این گروه هکری در ابتدا دنبال به دست آوردن کنترل حسابهای شخصی بوده است. هنگامی که آنها دسترسی به حسابهای کاربری را پیدا کردند، از این حسابها برای جمعآوری اطلاعات تا آنجا که میتوانستند استفاده میکردند؛ این کار در عوض به آنها اجازه میداد تا از سیستمهای شرکتی هدف خود استفاده کنند. Lapsus$ همچنین برخی از کارمندان برخی سازمانهای مهم را با گذاشتن آگهیهایی وسوسهبرانگیز جذب کرده است. در این آگهیها، این گروه به دنبال استخدام افرادی هست که مایل به ارائه این مدارک هستند و در ازای فاش کردن مدارک ذکر شده، مبلغ گزافی را به عنوان حقوق دریافت میکنند.
بر اساس مشاهدات و گزارشهای ارائه شده، DEV-0537 دارای زیرساختی کاملا اختصاصی است که آنها جزء ارائهدهندگان سرور خصوصی مجازی شناخته شده (VPS) قرار میدهد. شایان ذکر است که این گروه از NordVPN برای نقاط خروجی خود استفاده میکنند. DEV-0537 مکانهایی و کشورهای مورد نظر خود را بهصورت کامل شناسانیی میکند و نقاط خروجی از VPN را انتخاب میکنند که از نظر جغرافیایی بیشترین شباهت به اهداف آنها را دارند. سپس DEV-0537 دادههای حساس را از سازمان مورد نظر برای اخاذی یا انتشار عمومی در سیستمی که به VPN سازمان و یا سیستمی ملحق شده که به Azure AD متصل شده است، در دسترس قرار میدهد.
به این ترتیب، مایکروسافت در حال انجام اقدامات دقیقی است که به جلوگیری از چنین حملاتی از کاربران کمک میکند و خلاصهای از اقدامات ایمن را ارائه میدهد که به افزایش امنیت آنها کمک میکند. برخی از شیوههای کلیدی شامل تقویت پیادهسازی MFA، استفاده از گزینههای احراز هویت مدرن برای VPNها و بهبود آگاهی از حملات مهندسی اجتماعی و بسیاری از موارد دیگر است.