Меню
RU

Big Tech не защитит ваши данные: история хакерской группы Lapsus$

Это не просто дайджест: он целиком посвящён хакерской группировке Lapsus$. И такая слава вполне оправдана: каждый взлом, который они совершали — громкое событие. На первый взгляд может показаться, что к вам эти события отношения не имеют — но это только на первый взгляд.

«Новый президент Португалии»

В начале января появились новости, что после взлома остановили работу португальский телеканал SIC и газета Expresso. Оба принадлежали самой крупной в стране медиагруппе Impresa. Группа хакеров, назвавшая себя Lapsus$, потребовала от Impresa выкуп, а в Twitter-аккаунте газеты объявила себя новым президентом Португалии.

Твит Lapsus$ в газете Expresso
Источник: Twitter-аккаунт Cyber etc.

Уже через неделю заговорили о новом взломе: в течение некоторого времени посетители сайта крупнейшей в Латинской америке компании по аренде автомобилей попадали на порносайт.

Обычно при такого рода атаках пользователей перенаправляют на фишинговый сайт — его сложно отличить от оригинального, а доменный адрес, например, написан с опечаткой, — чтобы заставить людей ввести данные банковских карт и другие личные данные. Недавно именно так поступили хакеры, разместив фишинговую информацию в Instagram-аккаунте NFT-проекта Bored Ape Yacht Club: этот взлом принёс им 1 млн. долларов.

Но Lapsus$, по-видимому, выбирали жертвой не обычных пользователей, а корпорации. Кажется, группировку куда больше интересовал общественный резонанс.

От общественного резонанса к «национальной катастрофе»

Чем дальше, тем серьёзнее. Взлом NVIDIA окрестили «национальной катастрофой» для США.
Lapsus$ украли исходные коды драйверов, получил доступ к закрытым технологиям и архитектуре плат, а также к 71 тысяче учётных записей работников фирмы.

Среди украденного оказались и сертификаты подписи кода NVIDIA. Злоумышленник, которому в руки попал такой сертификат, смог бы подписать любое программное обеспечение как оригинальное ПО NVIDIA — так, вредоносную программу компьютер воспринял бы как безопасную и встроенная защита Windows не сработала бы. Долго ждать не пришлось: судя по новостям, уже появилось вредоносное ПО, которое использует украденные сертификаты подписи кода NVIDIA.

Поддельный сертификат NVIDIA
Источник: Bleeping computer

Цель — интеллектуальная собственность...

На этом хакерская группа не остановилась. В марте стало известно о взломе компании Samsung. Группировка украла, как она сама утверждает, 190 ГБ исходного кода и конфиденциальные данные Qualcomm, одного из контрагентов Samsung. Помимо прочего, Lapsus$ выложили в сеть данные об устройстве систем защиты компании — теперь изучить их, найти слабые места и придумать методы обхода не составит большого труда. Не удивительно, если скоро появятся новости о многочисленных взломах устройств Samsung.

...но не пользовательские данные?

В своём телеграм-канале Lapsus$ не только объявляли о взломах, но и, по-видимому, предлагали подписчикам выбрать, какие данные слить в этот раз. О том, что группировка взломала Vodafone и украла 200 ГБ данных, журналисты узнали из такого опроса. Vodafone ответили, что достоверность подтвердить не могут, а если что-то и было украдено, то не данные пользователей. Скорее всего, так и есть: складывается впечатление, что Lapsus$ охотятся за интеллектуальной собственностью, чем за личными данными.

Ту же тенденцию показали и следующие взломы: хакеры покушались на технологии компании, об утечке пользовательских данных новостей не поступало. Тогда же жертвой Lapsus$ стали игровая компания Ubisoft и компания Microsoft.

Не время отключать бдительность

Не исключено, что Lapsus$ украли больше данных — например, учётные записи или доступы к инфраструктуре — и просто ждут удобного случая для новой атаки. Пока это не очень похоже на правду: ни фишинг, ни продажа пользовательских данных группировку, кажется, не интересовали. Их громкие фразы, посты в соцсетях от имени известных компаний, заигрывание с аудиторией говорят скорее о том, что хакерам куда интереснее привлекать внимание общественности — а вымогательством денег у корпораций они заработали немаленькую сумму.

Но даже если личные данные пользователей не нужны Lapsus$, всегда найдётся кто-то, кому они покажутся привлекательными. Слитых исходных текстов может быть достаточно, чтобы найти уязвимости в продуктах и воспользоваться ими, а конфиденциальных данных о компании — для того, чтобы обойти системы безопасности и получить доступ к желанной информации.

Взломать можно и через третьи лица

В способах взлома группировка проявила немалую изобретательность: к конфиденциальным данным значимого SSO-провайдера, сервиса Okta, они попали через компанию-подрядчика. В компании Sykes, которая оказывает техподдержку на аутсорсе, есть доступ к большому количеству данных её клиентов — в том числе и Okta. Каким-то образом Lapsus$ завладели аккаунтом одного из сотрудников (в Sykes заявили, что хакеры украли ноутбук) — и дальше смогли через удалённый доступ сбрасывать пароли и управлять информацией о клиентах Okta. Даже если версия с ворованным ноутбуком кажется не очень правдоподобной, вспомнить о правилах надёжного пароля лишним не будет.

Последней (вероятно, пока) взломали консалтинговую фирму Globant. И судя по тому, что среди клиентов фирмы — компании DHL, Facebook, Apple, C-span, Fortune, Arcserve и другие (это видно на скриншоте), то фирму Globant, очевидно, использовали как посредника. Lapsus$ украли и опубликовали 70 ГБ исходного кода некоторых из клиентов Global — как его захотят использовать другие, неизвестно.

Даже если вы доверяете проверенной компании, обо всех её подрядчиках вы не можете знать — их системы безопасности могут быть недостаточно защищены — а значит, через них добраться до основной компании хакерам будет куда проще. А может вендор сам отдаёт данные компаниям-подрядчикам и за ними далеко ходить не нужно?

Утечка данных Globant

Источник: Telegram-канал Lapsus$

И через полицию

Системы безопасности компаний несовершенны, а хакеры изобретательны в обходных путях. И даже самые крупные корпорации, репутация которых стоит невообразимых сумм, попадаются на уловки. Недавно выяснилось, что в 2021 году Apple и Meta передали пользовательские данные хакерам, которые представились полицией. Группировка Recursion Team, некоторые участники которой позже предположительно перешли в Lapsus$, взломала электронную почту полиции и подделала срочные запросы на получение данных пользователей. Meta и Apple передали эти данные, среди которых были домашние адреса, номера телефонов и IP-адреса клиентов.

Эпилог

Позже оказалось, что часть участников Lapsus$ — подростки, которые все свои действия превращали в эпатажный спектакль: подключались к совещаниям компаний в Zoom, высмеивали сотрудников. Огромные корпорации с миллиардами пользователей оказались уязвимы перед лицом 16-летних детей. Те легко обходили системы безопасности — или использовали для этого сторонние организации и даже полицию. И если так легко вытащить информацию из богатейших корпораций, которые могут себе позволить потратить огромные деньги на безопасность и тщательно оберегают корпоративные тайны, то что может произойти с компаниями помельче?

Мы не можем быть уверены, что наши данные в надёжных руках, даже если они в руках крупных технологических корпораций вроде Apple, Microsoft или Google. Поэтому вот наша просьба, как и всегда: почаще проверяйте, что и кому вы разрешаете о себе знать. И задавайтесь вопросом: если данные могут попасть к кому угодно, действительно ли о вас должны знать столько? Разрешать ли компаниям относиться к вашим данным, как им вздумается, говоря «мне нечего скрывать», или ограничивать их сбор — решать вам. Так или иначе, мы сами в ответе за то, какой информацией мы делимся — и мы можем повлиять на то, как компаниям к ней относиться.

Понравился пост?
Загружая комментарии, вы соглашаетесь с условиями использования и политикой конфиденциальности.

AdGuard
для Windows

AdGuard для Windows — это не просто «ещё один блокировщик». Это многоцелевой инструмент, который блокирует рекламу и доступ к опасным сайтам, ускоряет загрузку страниц и защищает детей от взрослого контента.
Отзывы пользователей: 30295
4,7 из 5
Скачивая программу, вы принимаете условия Лицензионного соглашения
Читать далее

AdGuard
для Mac

В отличие от других блокировщиков, AdGuard разработан с учётом специфики операционной системы macOS. Он не только блокирует рекламу в Safari и других браузерах, но и защищает вас от слежки, фишинга и мошенничества в сети.
Отзывы пользователей: 30295
4,7 из 5
Скачивая программу, вы принимаете условия Лицензионного соглашения
Читать далее

AdGuard
для Android

AdGuard for Android — это идеальное решение для Android-устройств. В отличие от других блокировщиков, AdGuard не требует полного доступа и предоставляет широкий спектр возможностей по управлению приложениями.
Отзывы пользователей: 30295
4,7 из 5
Скачивая программу, вы принимаете условия Лицензионного соглашения

AdGuard
для iOS

Самый продвинутый блокировщик рекламы для Safari: он позволяет забыть о всплывающей рекламе, ускоряет загрузку страниц и защищает личные данные. А с помощью ручной блокировки можно настроить фильтрацию так, как это удобно вам.
Отзывы пользователей: 30295
4,7 из 5
Скачивая программу, вы принимаете условия Лицензионного соглашения

Браузерное расширение AdGuard

AdGuard — самое быстрое и легкое браузерное расширение для блокировки всех типов рекламы! Выбирайте AdGuard для быстрого и безопасного серфинга без рекламы.
Отзывы пользователей: 30295
4,7 из 5

AdGuard для Safari

Расширения, блокирующие рекламу в Safari, переживают не лучшие времена с тех пор, как компания Apple вынудила всех использовать новый SDK. Познакомьтесь с нашим легко настраиваемым и молниеносным приложением!
Отзывы пользователей: 30295
4,7 из 5
Доступно в
App Store
Скачать
Скачивая программу, вы принимаете условия Лицензионного соглашения

AdGuard Home

AdGuard Home — мощный сетевой инструмент против рекламы и трекинга. С усилением роли интернета вещей становится все более и более важным управлять всей вашей сетью. После настройки AdGuard Home будет охватывать ВСЕ ваши домашние устройства и для этого вам не понадобится программное обеспечение на стороне клиента.
Отзывы пользователей: 30295
4,7 из 5

AdGuard Content Blocker

AdGuard Content Blocker устраняет все объявления в мобильных браузерах, которые поддерживают технологию блокировки контента — к примеру, Samsung Internet и Яндекс.Браузер. Он обладает меньшим количеством функций, чем AdGuard для Android, но при этом бесплатен, прост в установке и по-прежнему обеспечивает высокое качество блокировки рекламы.
Отзывы пользователей: 30295
4,7 из 5
Скачивая программу, вы принимаете условия Лицензионного соглашения
Читать далее

Помощник AdGuard

Дополнительное браузерное расширение для десктопных приложений AdGuard. Даёт доступ к таким функциям в браузере, как блокировка отдельных элементов, занесение сайта в белый список или отправление отчёта.
Отзывы пользователей: 30295
4,7 из 5
Помощник для Chrome Это ваш текущий браузер?
Установить
Скачивая программу, вы принимаете условия Лицензионного соглашения
Помощник для Firefox Это ваш текущий браузер?
Установить
Скачивая программу, вы принимаете условия Лицензионного соглашения
Помощник для Edge Это ваш текущий браузер?
Установить
Скачивая программу, вы принимаете условия Лицензионного соглашения
Помощник для Opera Это ваш текущий браузер?
Установить
Скачивая программу, вы принимаете условия Лицензионного соглашения
Помощник для Yandex Это ваш текущий браузер?
Установить
Скачивая программу, вы принимаете условия Лицензионного соглашения
Помощник для Safari Это ваш текущий браузер?
Если вы не можете найти свой браузер в списке, попробуйте прежнюю версию Помощника, которую вы можете найти в настройках расширения AdGuard.
Загрузка AdGuard началась Стрелка указывает на файл: нажмите на него, и установка начнётся Выберите «Открыть», нажмите «OK» и дождитесь загрузки файла. В открывшемся окне перетащите значок AdGuard в папку «Приложения». Спасибо за выбор AdGuard! Выберите «Открыть», нажмите «OK» и дождитесь загрузки файла. В открывшемся окне нажмите «Установить». Спасибо за выбор AdGuard!
AdGuard есть и в мобильном варианте