Zaščitni lapsus
Pozdravljeni v torkovem tehnološkem BritOFFu. Tokrat bo govora o dokaj novi hekerski skupini z imenom Lapsus$, ki je postala prepoznavnejša v preteklem mesecu z vdori v podjetja, kot sta Nvidia in Samsung. Skupina je z delovanjem pričela v drugi polovici lanskega leta, njene tarče pa so sprva zajemale predvsem podjetja v Južni Ameriki in na Portugalskem. Decembra so hekerji zrušili spletno stran brazilskega ministrstva za zdravje, pri tem pa naj bi tudi ukradli in zatem izbrisali 50 terabajtov podatkov iz aplikacije, ki državljanom omogoča pridobitev potrdil o cepljenju.
Konec februarja so v podjetju Nvidia, ki se ukvarja predvsem z izdelavo grafičnih kartic, potrdili, da preiskujejo »incident«, pri čemer so se v medijih pojavila ugibanja, da naj bi za napadom stala Rusija, ki je ravno takrat pričela z napadom na Ukrajino. Naslednji dan je odgovornost prevzela skupina Lapsus$. Napadalcem je uspelo za dva dneva onemogočiti nekatere interne sisteme pri Nvidii, prav tako pa naj bi se dogajali izpadi na njihovih e-poštnih strežnikih. Hekerji so se polastili terabajta podatkov, ki je vključeval preko 70 tisoč uporabniških imen in gesel zaposlenih, domnevno pa tudi programske kode DLSS, ki predstavljajo ključni del za izboljševanje delovanja grafičnih kartic.
Skupina Lapsus$ je nekaj pridobljenih podatkov objavila, poleg odkupnine pa so v zameno za neobjavo preostalih zahtevali tudi, naj Nvidia objavi posodobitve za nekatere kartice in zanje naredi odprtokodne gonilnike. Lani je namreč Nvidia namenoma omejila zmogljivosti nekaterih svojih izdelkov, da bi ti postali manj privlačni za rudarje kriptovalut in tako postali dostopnejši igričarjem, saj je v času korona krize prišlo do pomanjkanja grafičnih kartic na tržišču zaradi ozkih grl v dobavnih verigah polprevodnikov, deloma pa tudi zaradi profitabilnosti rudarjenja kriptovalut.
Od Nvidie so napadalci ukradli tudi certifikate za podpisovanje kode in jih objavili na spletu. Certifikati se v programski opremi uporabljajo za preverjanje proizvajalca kode. Če operacijski sistem ugotovi, da zaupa podpisniku, bo zagnal program. V tem primeru je prišlo do podpisovanja zlonamerne kode, to je virusov z zaupanja vrednimi certifikati Nvidie. Kar je pri vsem skupaj zanimivo, je dejstvo, da so dotični certifikati potekli pred več kot petimi leti, kar bi sicer pomenilo, da so neuporabni. Vendar je Microsoft zasnoval operacijska sistema Windows 10 in 11 tako, da sprejmeta tudi nekatere pretečene certifikate z namenom zagotavljanja kompatibilnosti s starejšimi programi.
Nekaj dni po vdoru v Nvidio so v Lapsus$u objavili, da naj bi podatke ukradli tudi pri podjetju Samsung, in se tako polastili med drugim programske kode za nov model telefona Galaxy, biometričnih algoritmov za prepoznavo prstnih odtisov in obraza, pa tudi programske kode podjetja Qualcomm, katerega procesorje Samsung vgrajuje v svoje telefone. Konec marca so hekerji uspešno vdrli tudi v Microsoft in se dokopali do programske kode iskalnika Bing ter virtualne pomočnice Cortana. Po prvih podatkih naj bi vdor prizadel vse uporabnike binga, kar znaša približno nič oseb.
Za razliko od večine hekerskih skupin v Lapsus$u niso zainteresirani za zakrivanje sledi za svojimi napadi. Še več, napade naj bi napovedovali na družbenih omrežjih, prav tako pa se v glavnem sporazumevajo prek skupine na klepetalniku Telegram, kjer lahko člani glasujejo o tem, katere podatke naj skupina naslednjič objavi. Prav tako ne uporabljajo izključno napredne zlonamerne programske opreme, temveč se zanašajo predvsem na tradicionalnejše oblike hekanja, kot je socialni inženiring. Eden od članov skupine je tako pred časom na enem od Redditovih forumov objavil tako rekoč zaposlitveni oglas za skupino Lapsus$. Iskali so zaposlene pri ameriških ponudnikih telefonskih storitev AT&T, Verizon in T-Mobile, ki so jim bili pripravljeni ponuditi do 20 tisoč dolarjev tedensko za izvajanje SIM swappinga. To pomeni, da lahko zaposleni pri mobilnem operaterju določeno telefonsko številko poveže s katero koli želeno napravo, kar se na primer zgodi, ko zamenjamo telefonsko omrežje, novi ponudnik pa nam na novi telefon namesti isto številko, kot smo jo imeli prej. Tako bi Lapsus$u dobivali SMS-e, poslane na ciljno številko, s tem pa tudi razna gesla, ki bi jih uporabili za prijavo v uporabnikove račune.
Domnevni vodja skupine Lapsus$, ki je na Redditu uporabljal psevdonim WhiteDoxbin, naj bi lani prevzel nadzor nad spletno stranjo Doxbin, na kateri so ljudje objavljali osebne podatke tarč z namenom »doxxanja« oziroma brskali med že objavljenimi podatki. Njegovo vodenje strani se ni obneslo, zato je januarja tudi sam postal žrtev doxxanja, pri čemer je prišlo na dan, da gre za mladoletnega posameznika iz Združenega kraljestva. To je tudi razblinilo sume o izvoru skupine, saj se je sprva domnevalo, da ta izhaja iz Južne Amerike, kjer so se nahajale ene od njenih prvih tarč. Sicer je še vedno verjetno, da vsaj del članov prihaja iz portugalsko govorečih držav, saj svoje zaposlitvene oglase objavljajo – poleg angleščine – tudi v tem jeziku.
Britanska policija je pred nekaj tedni pridržala in izpustila sedem oseb, starih med 16 in 21 let, v povezavi s preiskavo o skupini Lapsus$. Kmalu zatem so aretirali še dva mladoletna posameznika, ki pa se bosta morala zagovarjati pred sodiščem zaradi vdiranja v tuje računalnike. Skupina je nato za en teden prekinila svoje aktivnosti. Zatem so v aprilu objavili 70 gigabajtov podatkov, ki so jih dobili z vdorom v sisteme IT [aj ti] podjetja Globant. Podatki naj bi vsebovali nekaj programske kode, uporabniških imen in gesel zaposlenih pri Globantu, prav tako pa podatke o strankah podjetja, med katerimi so francoska banka BNP Paribas, Facebook, DHL in druga.
Dodaj komentar
Komentiraj