Logo E-Commerce Brasil

Microsoft confirma invasão hacker com violação de Bing e Cortana

Por: Lucas Kina

Jornalista e repórter do E-Commerce Brasil

Apesar de nenhum código ou dado de clientes ter sido comprometido, a Microsoft confirmou, nesta quarta-feira (23), que foi violada pelo grupo de hackers Lapsus$. Em uma postagem de blog, publicada horas depois que Lapsus$ postou um arquivo torrent contendo código-fonte parcial do Bing, Bing Maps e Cortana, a empresa revelou que a conta de um único funcionário foi comprometida pelo grupo, concedendo aos invasores “acesso limitado” a sistemas da Microsoft e permitindo o roubo do código-fonte da empresa.

“Nossas equipes de resposta à segurança cibernética se envolveram rapidamente para corrigir a conta comprometida e evitar mais atividades”, disse a Microsoft. “A Microsoft não confia no sigilo do código como medida de segurança e a visualização do código-fonte não aumenta o risco. Nossa equipe já estava investigando a conta comprometida com base na inteligência de ameaças quando o ator divulgou publicamente sua invasão. Essa divulgação pública escalou nossa ação, permitindo que nossa equipe interviesse e interrompesse o ator no meio da operação, limitando o impacto mais amplo.”

A Microsoft não compartilhou mais detalhes sobre como a conta foi comprometida, mas forneceu uma visão geral das táticas, técnicas e procedimentos do grupo Lapsus$, que o Centro de Inteligência de Ameaças da empresa, conhecido como MSTIC, observou em vários ataques. Inicialmente, esses ataques visavam organizações na América do Sul e no Reino Unido, embora o Lapsus$ tenha se expandido para alvos globais, incluindo governos e empresas dos setores de tecnologia, telecomunicações, mídia, varejo e saúde.

O grupo, que a gigante da tecnologia está rastreando como DEV-0537, opera com um “modelo puro de extorsão e destruição” e, ao contrário de outros grupos de hackers, “não parece cobrir seus rastros”, segundo a Microsoft, provavelmente um aceno para o recrutamento público de membros da empresa pelo grupo para ajudá-lo a realizar seus ataques direcionados. O grupo usa vários métodos para obter acesso inicial a uma organização, que normalmente se concentra em comprometer identidades e contas de usuários. Além do recrutamento de funcionários em organizações-alvo, isso inclui a compra de credenciais de fóruns da dark web , a pesquisa de credenciais expostas em repositórios públicos e a implantação do ladrão de senhas Redline.

Microsoft: atuação dos hackers

O Lapsus$ usa credenciais comprometidas para acessar os dispositivos e sistemas voltados para a Internet de uma empresa, como redes privadas virtuais , infraestrutura de desktop remoto ou serviços de gerenciamento de identidade, como Okta, que o grupo de hackers violou com sucesso em janeiro . A Microsoft diz que em pelo menos um compromisso, o Lapsus$ executou um ataque de troca de SIM para obter o controle do número de telefone e mensagens de texto de um funcionário para obter acesso aos códigos de autenticação multifator (MFA) necessários para fazer login em uma organização.

Depois de obter acesso à rede, o Lapsus usa ferramentas disponíveis publicamente para explorar as contas de usuário de uma organização para encontrar funcionários com privilégios mais altos ou acesso mais amplo e, em seguida, direcionar plataformas de desenvolvimento e colaboração, como Jira, Slack e Microsoft Teams, onde outras credenciais são roubados. O grupo de hackers também usa essas credenciais para obter acesso a repositórios de código-fonte no GitLab , GitHub e Azure DevOps, como fez com o ataque à Microsoft.

“Em alguns casos, o DEV-0537 até ligou para o suporte técnico da organização e tentou convencer o pessoal de suporte a redefinir as credenciais de uma conta privilegiada”, acrescentou a Microsoft. “O grupo usou as informações coletadas anteriormente (por exemplo, fotos de perfil) e fez com que um interlocutor nativo de inglês falasse com o pessoal do suporte técnico para aumentar sua atração de engenharia social”.

A gangue Lapsus$ configurou uma infraestrutura dedicada em provedores conhecidos de servidor virtual privado (VPS) e aproveita o serviço de rede privada virtual de consumidor NordVPN para exfiltrar dados – mesmo usando servidores VPN localizados geograficamente próximos de seus alvos para evitar o acionamento de ferramentas de detecção de rede. Os dados roubados são então usados ​​para extorsão futura ou divulgados publicamente.

O grupo de hackers Lapsus$ ganhou fama nas últimas semanas, comprometendo várias empresas proeminentes, incluindo Nvidia e Samsung . No início desta semana, sua última vítima foi revelada como Okta depois que a gangue postou capturas de tela dos sistemas internos da gigante de identidade. A Okta confirmou a violação , que disse ter sido o resultado da Lapsus$ comprometer um engenheiro de suporte ao cliente terceirizado e disse que impactou cerca de 2,5% de seus 15.000 clientes.

Atualmente, não está claro por que a Okta não notificou seus clientes sobre o comprometimento, que ocorreu durante uma janela de cinco dias em janeiro, até agora.

Leia também: Microsoft lança Windows 11, que terá loja de aplicativos em parceria com Amazon

Fonte: PYMNTS