Юные британские хакеры взломали десятки организаций по всему миру, как им это удалось?

Министерство внутренней безопасности США вчера опубликовало доклад , проанализировав атаки хакерской группировки Lapsus$. Злоумышленники взламывали десятки организаций с надёжной защитой, используя довольно простые методы вроде SIM Swapping

Расследование деятельности Lapsus$ началось в декабре 2021 года, когда группировка опубликовала конфиденциальные данные якобы взломанных ими компаний, среди которых Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Uber, Vodafone, Ubisoft и Globant.

Lapsus$ описывают как слабоорганизованную группу подростков из Великобритании и Бразилии. Они действовали в 2021-2022 годах ради славы, денег или развлечения, используя простые, но порой творческие методы взлома.

Основной метод Lapsus$ — SIM Swapping. Злоумышленники переносили номер жертвы на свою собственную SIM-карту, используя социальную инженерию или помощь внутреннего сотрудника оператора связи. А в некоторых случаях мошенники напрямую взламывали учётную запись одного из сотрудников провайдера, чтобы выполнять SIM Swapping самостоятельно.

Для получения какой-либо конфиденциальной информации о своей жертве (имя, номер телефона, служебная информация о сети клиента) члены группы иногда даже прибегали к мошенническим запросам на экстренное раскрытие информации, прикидываясь сотрудниками правоохранительных органов.

Когда злоумышленники получали контроль над номером своей жертвы, они перехватывали SMS с кодами двухфакторной аутентификации, необходимыми для доступа к корпоративным системам и данным, попадая в сети целевых компаний.

Мошенническая цепочка по замене SIM-карты

По данным доклада, группа также платила до $20 000 в неделю за доступ к нелегальной платформе оператора связи для перехвата SIM-карт, поэтому можно с уверенностью сказать, что денег у хакеров в достатке. Хотя публичных случаев вымогательства со стороны Lapsus$ не зафиксировано, некоторые компании якобы переводили киберхулиганам денежный выкуп.

Несмотря на высокую эффективность группы, она зачастую терпела неудачи там, где компании использовали многофакторную аутентификацию (MFA) через PUSH-уведомления на смартфон совместно с системы обнаружения вторжений (IDS). Там, где срабатывали процедуры реагирования, ущерб значительно снижался.

Деятельность Lapsus$ затихла с сентября 2022 года, вероятно, из-за расследований правоохранительных органов, которые привели к арестам нескольких членов группы. Тем не менее, в историю хакеры уже точно попали, как самые юные и безбашенные злоумышленники.

Эксперты кибербезопасности рекомендуют компаниям переходить на беспарольную аутентификацию, отказаться от SMS-кодов и повысить сотрудничество с правоохранительными органами, чтобы снизить риск использования тех методов, которыми активно пользовались киберпреступники Lapsus$.