LAPSUS$ : 2 nouvelles victimes confirmées et une analyse par Microsoft

Microsoft a finalement confirmé avant-hier que LAPSUS$ a bel et bien pu obtenir un « accès limité » à ses systèmes en exploitant un compte compromis, depuis déjà resécurisé par son service de sécurité afin d'éviter toute nouvelle tentative. Microsoft rassure et précise qu'aucun code ni de données de sa clientèle n'ont été touchés dans l'infiltration de LAPSUS$ et qu'il n'y a donc aucune élévation du risque habituel.  À en croire Microsoft, ses équipes ont pu intervenir et interrompre l'opération du groupe, limitant ainsi son impact. On apprend aussi que l'entreprise surveille le groupe depuis un moment, suivi sous l'identifiant DEV-0537. C'est le Microsoft Threat Intelligence Center qui est sur le coup, avec la Detection and Response Team et la Microsoft 365 Defender Threat Intelligence Team.

Dans cette publication très complète et intéressante disponible ici (~11 minutes de lecture), l'entreprise partage son observation et son analyse du groupe LAPSUS$, examinant son historique, ses « stratégies » et son « mode opératoire ». Microsoft a constaté, entre autres, que LAPSUS$ ne se comporte pas vraiment comme les autres, le groupe semble notamment ne faire aucun effort pour couvrir ses traces et fait bon usage des réseaux sociaux pour vanter ses attaques ou mettre en avant ses demandes. DEV-0537 utilise également selon Microsoft des tactiques moins communes, faisant l'impasse notamment sur l'usage de logiciels malveillants, comme les ransomwares. Au contraire, le groupe de pirates s'appuierait simplement sur un modèle d'extorsion et de destruction pure.  

Ainsi, LAPSUS$ aurait une préférence pour : l'ingénierie sociale basée sur le mobile (échange de SIM, par exemple) ; faire chanter l'entreprise victime pour une rançon  ; soudoyer/recruter des employés, des partenaires ou des fournisseurs de la cible pour obtenir des informations d'identifications et authentification multifacteur (MFA) ; accéder aux comptes personnels des employés de la cible ; s'immiscer dans les communications de crise des organisations visées ; mettre en vente son butin. Pour terminer, Microsoft partage aussi ses recommandations à destination des entreprises avant tout pour les prémunir contre une intrusion, détaillant les choses à faire (renforcer les mots de passe et l'implémentation MFA basée sur des alternatives modernes) et celles à éviter (le MFA via SMS, par exemple). 

Based on observed activity, this group understands the interconnected nature of identities and trust relationships in modern technology ecosystems and targets telecommunications, technology, IT services and support companies – to leverage their access from one organization to access the partner or supplier organizations." - Microsoft. 

Outre Microsoft, il a été confirmé que le fournisseur de services Cloud Okta également a été victime d'une intrusion par LAPSUS$, qui aurait potentiellement impacté environ 2,5 % des ses clients. L'entreprise a reconnu la chose et affirme avoir identifié toutes les victimes et de les avoir contactés directement. Cependant, Okta insiste que ses services n'ont pas été compromis et sont pleinement opérationnels, et qu'aucune action corrective n'est requise par sa clientèle... Selon l'entreprise, LAPSUS$ a pu exploiter le compte d'un ingénieur du service clientèle après avoir eu accès à la machine portable de l'employé pendant 5 jours, entre les 16 et 21 janvier ! Oui, janvier, ça fait un bail. Autrement dit, Okta aura attendu 2 mois avant de communiquer à propos de l'intrusion et d'en informer ses clients... Voilà qui n'est pas très flatteur. D'ailleurs, LAPSUS$ s'est fait un malin plaisir à démonter un à un les soi-disant « mensonge » relevés par le groupe dans le communiqué d'Okta : 

Bon, grâce au travail de Microsoft, l'industrie en sait désormais tout de même bien plus à propos de ce groupe relativement nouveau, mais qui semble être bien parti pour rejoindre le panthéon des célèbres associations de pirates. En tout cas, il a sa page Wikipédia (assez sommaire, certes) depuis le 14 mars. Jusqu'où ce groupe présumé basé au Brésil pourra-t-il aller et pendant combien de temps encore ? Allez savoir, mais ce n'est probablement pas terminé. Les spécialistes en cybersécurité vont toutefois avoir un peu de temps pour se préparer avant la prochaine attaque, puisqu'il s'avère que LAPSUS$ a décidé de prendre un peu de repos après tous ses exploits et plusieurs de ses membres auraient pris quelques vacances jusqu'au 30/03/2022, à en croire une publication via le Telegram du groupe. (Source)