مایکروسافت از هک شدن کدهای خود توسط گروه $Lapsus خبر داد

مدتی است که نام گروه هکری $Lapsus به عنوان تیتر اول خبرگزاری‌های مختلف مطرح شده است. تقریباً یک ماه پیش بود که Nvidia از به سرقت رفتن اطلاعات خود توسط این گروه خبر داد و اکنون هک شدن کدهای مایکروسافت جدیدترین دستاورد این تیم است.

$Lapsus می‌گوید اکنون به داده‌های Okta، Nvidia، Samsung و Ubisoft دسترسی دارد. گروه هکری $Lapsus که به هک کردن Nvidia، Samsung و چند کمپانی مطرح دیگر معروف شده، این هفته مسئولیت هک شدن کدهای مایکروسافت را نیز بر عهده گرفته است. $Lapsus فایلی را ارسال کرد که به ادعای آنها حاوی بخش‌هایی از کد منبع برای Bing و Cortana است؛ به گفته این گروه این فایل آرشیو شده نزدیک به 37 گیگابایت داده را در خود جای داده است.

عصر روز سه‌شنبه، پس از آخرین بررسی‌ها، مایکروسافت تأیید کرد که گروهی با یک حساب کاربری با نام DEV-0537 بخش‌هایی از کد منبع برخی از محصولاتش را به سرقت برده‌ است. در یک پست وبلاگی آمده است که بازرسان مایکروسافت هفته‌ها گروه $Lapsus را ردیابی کرده‌اند و برخی از روش‌هایی که آنها برای به خطر انداختن سیستم قربانیان خود استفاده کرده‌اند، شرح دادند.

به گفته مرکز اطلاعات امنیتی مایکروسافت (MSTIC): «هدف گروه DEV-0537 دستیابی به دسترسی‌های بالاتر از طریق اعتبارنامه‌های دزدیده شده است که سرقت داده‌ها و حملات مخرب علیه سازمان هدف را ممکن می‌کند و غالباً این فعالیت‌ها منجر به اخاذی از آن سازمان می‌شود. تاکتیک‌ها و اهداف گروه $Lapsus نشان می‌دهد که این مجرمان سایبری با انگیزه سرقت و تخریب وارد عمل می‌شوند.»

مایکروسافت معتقد است که کدهای لو رفته به اندازه کافی شدید نیستند که باعث افزایش خطر و ریسک برای آنها و مشتریانشان شود و تیم‌های پاسخ دهنده مایکروسافت هکرها را در میانه عملیاتشان متوقف کرده‌اند. اگر ادعای گروه $Lapsus مبنی بر حمله و سرقت اطلاعات این شرکت‌ها درست باشد باید گفت که حقیقتاً در حال پیشرفت هستند! این تیم اذعان دارد که به داده‌های Okta، Samsung و Ubisoft و همچنین Nvidia و اکنون مایکروسافت دسترسی پیدا کرده است. با اینکه شرکت‌هایی مانند سامسونگ و انویدیا به دزدیده شدن بخشی از اطلاعات خود اعتراف کرده‌ و آن را تأیید نموده‌اند، Okta همچنان ادعای این گروه مبنی بر دسترسی به سرویس احراز هویت پلتفرم خود را تکذیب کرده و در طی بیانیه‌ای اعلام کرده است که «سرویس Okta مورد نفوذ واقع نشده و کاملاً فعال است.»

در این هفته، این گروه ($Lapsus) به صورت عمومی اعلام کرد که به داده‌های مایکروسافت دسترسی پیدا کرده و بخش‌هایی از کد منبع آن را استخراج کرده‌ است. هیچ کد یا داده‌ای از مشتریان در فعالیت‌های مورد نظر آنها دخیل نبوده است. تحقیقات ما نشان داد که یک حساب کاربری دچار اختلال شده و دسترسی محدودی به آن داده شده است. تیم‌های پاسخگویی امنیت سایبری ما به سرعت برای اصلاح این حساب و جلوگیری از فعالیت بیشتر وارد عمل شدند.
مایکروسافت تنها به دلیل محرمانه بودن یک کد آن را به عنوان یک اقدام امنیتی و مخرب در نظر نمی‌گیرد و فقط افشای کد منبع منجر به افزایش خطر [در اکوسیستم ما] نمی‌شود. تاکتیک‌های DEV-0537 مورد استفاده در این نفوذ، همان تاکتیک‌ها و تکنیک‌های مورد بحث در وبلاگ ما بوده است. تیم ما قبلاً در حال بررسی این حساب مشکوک بر اساس اطلاعات تهدید کننده بوده است تا اینکه این گروه به طور عمومی نفوذ خود را افشا کرد. این افشای عمومی اقدامات ما را تشدید کرد و به تیم ما اجازه داد مداخله مستقیم داشته باشد و این گروه را در اواسط عملیات خود متوقف کند و عملکرد گسترده‌تر آنها را محدود کند.
بیانیه مایکروسافت

این اولین بار نیست که مایکروسافت از لو رفتن اطلاعات و کدهای خود صحبت می‌کند و آن را تأیید می‌کند؛ آنها در مورد حمله Solarwinds نیز همین موارد را گفته بودند. $Lapsus می‌گوید که تنها حدود 45 درصد از کد Bing و Cortana و چیزی حدود 90 درصد از کد Bing Maps را دریافت کرده است. حتی اگر مایکروسافت نگران آشکار شدن و آسیب پذیری کد منبع‌های خود باشد، کد Bing Maps نسبت به دو مورد دیگر کم ارزش‌تر به نظر می‌رسد و نگرانی‌ها برای آن به مراتب کمتر است.

مایکروسافت در پست وبلاگی خود تعدادی از اقداماتی را که دیگر سازمان‌ها می‌توانند برای بهبود امنیت خود انجام دهند، از جمله نیاز به احراز هویت چند عاملی، استفاده نکردن از روش‌های احراز هویت چندعاملی ضعیف مانند پیام‌های متنی یا ایمیل‌های ثانویه، آموزش اعضای تیم در مورد احتمال حملات مهندسی شده شبکه‌های اجتماعی و ایجاد فرآیندهایی برای پاسخ‌های احتمالی به حملات $Lapsus بیان می‌کند. مایکروسافت همچنین می‌گوید که به ردیابی $Lapsus ادامه می‌دهد و هرگونه حمله‌ای از این گروه که بخواهد متوجه مشتریان مایکروسافت شود، تحت نظر خواهد داشت.