[English]Die Hackergruppe Lapsuss$ reklamiert für sich, die Repositories mit den Quellcodes der Microsoft-Produkte Azure, Bing, Bing Maps und Cortana gehackt und Quellcode abgezogen zu haben. Vor Stunden hieß es noch, dass Microsoft untersucht, ob das Azure Quellcode-Repository gehackt worden sei. Nun veröffentlich die Hackergruppe Lapsus$ erste Hinweise auf diesen Hack. Ergänzung: Wie es ausschaut, könnten auch Zertifikate und mehr erbeutet worden sein. Möglicherweise spielt auch der OKTA-Hack mit rein. Ergänzung 2: Microsoft hat eine Stellungnahme veröffentlicht.
Anzeige
Erste Hinweise auf Hack
Sonntag, den 20. März 2022 hat Tom Malka in nachfolgendem Tweet angedeutet, dass Microsoft Opfer eines Hacks durch die Hackergruppe Lapsus$ geworden sein könnte.
In obigem Tweet wird ein am frühen Sonntagmorgen Lapsus$ auf Telegram geposteter Screenshot gezeigt. Der Screenshot zeigt angeblich Ordner von internen Microsoft Quellcode-Repositories. Das sollte andeuten, dass die Hacker Zugriff auf Microsofts Azure DevOps-Server hatten. Der abgebildete Screenshot zeigt ein Azure DevOps-Repository, das den Quellcode für Cortana und verschiedene Bing-Projekte mit den Namen "Bing_STC-SV", "Bing_Test_Agile" und "Bing_UX" enthält. Der Post wurde aber wohl nach kurzer Zeit wieder gelöscht. Die Kollegen von Bleeping Computer haben das Ganze in diesem Artikel aufgegriffen. Microsoft hat den Hack des Azure DevOps-Kontos zwar nicht bestätigt, gab aber gegenüber BleepingComputer an, dass man diese Berichte untersuche.
Lapsus$ veröffentlich angeblich Quellcode
Vor wenigen Minuten sind mir auf Twitter mehrere Meldungen von Sicherheitsforschern untergekommen, die Veröffentlichungen der Lapsus$-Gang aufgegriffen haben. Brett Callow schreibt in nachfolgendem Tweet, dass Lapsus$ behauptet, Teile des Quellcodes von Bing, Bing Maps und Cortana veröffentlicht zu haben.
Anzeige
Auch Tom Malka hat gerade in nachfolgendem Tweet auf neue Veröffentlichungen von Lapsus$ hingewiesen, die erbeutete Daten von Samsung- und Microsoft veröffentlichen.
Den ganzen Quellcode konnte man wohl nicht abziehen, denn irgendwann musste der Hacker, der Zugriff auf das Repository hatte, mal schlafen, wie er im Chat schreibt. Während dieser Zeit sei der Zugriff auf die Quellcodes "gestorben".
Lapsus$ und die vielen Hacks
Bei Lapsus$ handelt es sich um eine Hackergruppe, die sich darauf spezialisiert hat, per Phishing in fremde IT-System einzudringen. Der Name leitet sich von einer gleichnamigen Ransomware ab, die die Hacker auf den Systemen der Opfer ggf. installieren. Die Hackergruppe zieht bei jedem Eindringen Daten ab, um die Opfer zu erpressen. Die Hacker drohen dem Opfer bei Verweigerung einer Lösegeldzahlung mit der Veröffentlichung der erbeuteten Daten. Lapsus$ tritt seit Dezember 2021 auf und hat zum Jahreswechsel den portugiesischen Medienkonzern Impresa gehackt (daher vermuten einige Sicherheitsexperten den Ursprung der Hackergruppe in Südamerika, aber die Herkunft ist bisher unklar). Die Gruppe kommuniziert über Telegram und hat seit Anfang 2022 einige spektakuläre Hacks auf Nvidia, Samsung und jetzt Microsoft ausgeführt.
Ergänzung: In diesem Tweet schreibt Soufiane Tahiri, dass die erbeuteten Daten "einige E-Mails und einige starke Pub/Priv-Schlüssel für die Namenssignierung sowie einige Code-Signierungszertifikate" enthalten. Das wäre so was wie ein GAU für Microsoft und das Windows-Eco-System.
Eine Quelle meinte mir gegenüber, dass das alles wohl alte Daten aus 2020 wären – ich bin mir da aber nicht sicher. Möglicherweise hängt das alles mit dem in folgender Linkliste berichteten Hack des Authentifizierungsdienst OKTA zusammen.
Ergänzung 2: Microsoft hat nun eine Stellungnahme veröffentlicht, die ich im Beitrag Lapsus$-Hacks: Stellungnahmen von Okta und Microsoft aufgegriffen habe.
Ähnliche Artikel:
Nvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen
Ubisoft durch Lapsus$-Cyber-Gang gehackt (März 2022)
Samsung bestätigt Hack, Quellcodes durch Lapsus$ geleakt
Authentifizierungsdienst OKTA durch Lapsus$ gehackt?
Anzeige
Toll, MS wird Open Source… frech grins…
hahahaha .. you made my day! ^^
Betr. "MS wird Open Source":
War es längst, siehe aus 2000 den Artikel https://www.heise.de/newsticker/meldung/Cracker-stehlen-Microsoft-Sourcecode-33301.html
Es gab über die Jahre immer mal wieder Leaks – aber wenn es stimmt, dass Zertifikate zum Signieren von Produkten mit dabei waren, hat das imho eine andere Qualität.
Da werden derzeit also reihenweise die weltgrössten Firmen fleissig öffentlichkeitswirksam um ihre Kronjuwelen erleichtert und kein Drei-/Vier-/Viele-Buchstaben Dienst kann rausfinden, wer/wo/was genau dahintersteckt und das aufklären und wirksam abstellen? Klingt ja recht wirr und eher unglaublich…
Recherchetipp: Cyber Polygon.
Das ist überhaupt nicht unwahrscheinlich.
Lapsus$ hat nicht Microsoft gehackt, sondern ist über Phishing bei Okta drin.
Und somit stehen alle Kunden von Okta offen, die Oktas SSO nutzen.
Slack müsste eigentlich auch bald kommen.
Da werden sicher einige heute ganz hektisch ihren Arbeitstag beginnen.