Microsoft Konfirmasi Diretas Grup Lapsus$

Internet Sehat : Microsoft telah mengkonfirmasi bahwa salah satu karyawan mereka telah disusupi oleh kelompok peretasan Lapsus$ yang memungkinkan pelaku ancaman untuk mengakses dan mencuri bagian dari kode sumber Microsoft.

Komplotan Lapsus$ merilis kode sumber sebesar 37GB yang dicuri dari server Azure DevOps Microsoft. Kode sumber tersebut adalah untuk berbagai proyek internal Microsoft, termasuk untuk Bing, Cortana, dan Bing Maps.

Dalam posting blog baru yang diterbitkan, Microsoft telah mengkonfirmasi bahwa salah satu akun karyawan mereka telah disusupi oleh Lapsus$ sehingga bisa memberikan akses terbatas ke repositori kode sumber.

Menurut Microsoft, tidak ada kode atau data pelanggan yang terlibat dalam aktivitas yang diamati. Investigasi menemukan satu akun telah disusupi, memberikan akses terbatas. Tim respons keamanan siber Microsoft dengan cepat terlibat untuk memulihkan akun yang disusupi dan mencegah aktivitas lebih lanjut.

Microsoft tidak mengandalkan kerahasiaan kode sebagai ukuran keamanan dan melihat kode sumber tidak mengarah pada peningkatan risiko. Tim sudah menyelidiki akun yang disusupi berdasarkan intelijen ancaman ketika aktor tersebut secara terbuka mengungkapkan intrusi mereka. Pengungkapan publik ini meningkatkan tindakan yang memungkinkan tim untuk campur tangan dan mengganggu aktor di tengah operasi dan membatasi dampak yang lebih luas.

Meskipun Microsoft belum membagikan bagaimana akun tersebut disusupi, mereka memberikan gambaran umum tentang taktik, teknik, dan prosedur (Tactics, Techniques, and Procedures, TTP) kelompok Lapsus$ yang diamati di berbagai serangan.

Microsoft melacak grup pemerasan data Lapsus$ sebagai DEV-0537 dan mengatakan bahwa mereka terutama berfokus pada perolehan kredensial yang disusupi untuk akses awal ke jaringan perusahaan. Kredensial ini diperoleh dengan menggunakan metode berikut:

  1. Menyebarkan pencuri kata sandi Redline yang berbahaya untuk mendapatkan kata sandi dan token sesi.
  2. Membeli kredensial dan token sesi di forum kriminal bawah tanah.
  3. Membayar karyawan di organisasi yang ditargetkan (atau pemasok/mitra bisnis) untuk akses ke kredensial dan persetujuan otentikasi multi-faktor (MFA).
  4. Mencari repositori kode publik untuk kredensial terbuka

Setelah Laspsus$ mendapatkan akses ke kredensial yang disusupi, mereka menggunakannya untuk masuk ke perangkat dan sistem perusahaan yang menghadap publik, termasuk VPN, infrastruktur Virtual Desktop, atau layanan manajemen identitas, seperti Okta, yang mereka langgar pada bulan Januari.

Microsoft mengatakan Lapsus$ menggunakan serangan sesi replay untuk akun yang menggunakan MFA atau terus memicu pemberitahuan MFA hingga pengguna bosan dan mengonfirmasi bahwa pengguna harus diizinkan untuk masuk.

Microsoft mengatakan bahwa setidaknya dalam satu serangan, Lapsus$ melakukan serangan pertukaran SIM untuk mendapatkan kendali atas nomor telepon pengguna dan teks SMS untuk mendapatkan akses ke kode MFA yang diperlukan untuk masuk ke akun.

Seketika Lapsus$ mendapatkan akses ke jaringan, pelaku ancaman menggunakan AD Explorer untuk menemukan akun dengan hak istimewa yang lebih tinggi dan kemudian menargetkan platform pengembangan dan kolaborasi, seperti SharePoint, Confluence, JIRA, Slack, dan Microsoft Teams.

Grup peretasan juga menggunakan kredensial ini untuk mendapatkan akses ke repositori kode sumber di GitLab, GitHub, dan Azure DevOps, seperti yang terlihat dalam serangan terhadap Microsoft.

Sumber : Bleeping Computer

Share