LAPSUS$ deckt Sicherheitslücken bei Tech-Unternehmen auf

Sicherheit (Pexels, allgemeine Nutzung)[English]Über die Hackergruppe LAPSUS$, die Berichten zufolge aus Teenagern besteht, hatte ich hier im Blog ja berichtet. Sicherheitsforscher von Tenable haben Hackergruppe unter die Lupe genommen und eine Analyse veröffentlicht. Fazit:  Die Taktik der Gruppe war dreist, unlogisch und wenig durchdacht – und sie hatten doch Erfolg, konnten sie doch die größten Tech-Unternehmen wie Microsoft, Samsung, Ubisoft und Okta vorführen – bezeichnend für die Branche.


Anzeige

Zum Hintergrund der Lapsus$-Gruppe

Die mutmaßlich aus Teenagern bestehende Hackergruppe (zumindest wurden einige Jugendliche in Großbritannien diesbezüglich verhaftet) Lapsus$ konnte durch eine Reihe von Angriffen auf Technologieunternehmen, darunter Microsoft Corp. und Nvidia Corp eine gewisse mediale Aufmerksamkeit erlangen. Die Gruppe war seit Mitte 2021 tätig und die Strategie der Teilnehmer war, Zugänge zu Systemen durch Aufkaufen von Zugangsdaten von Mitarbeiterkonten zu erlangen. Die Leute waren da recht erfolgreich – Lapsus$ wurde zu einer der bekanntesten und berüchtigtsten Online-Erpressergruppen  – über die Hacks hatte ich ja mehrfach berichtet – siehe Links am Artikelende.

Lapsus$ attacks

Sicherheitsforscher, die im Auftrag der angegriffenen Unternehmen eine Reihe von Angriffen der Hackergruppe Lapsus$ untersuchten, konnten die Identität einiger Mitglieder der Lapsus$-Gruppe herausfinden. Ich hatte darüber im Blog-Beitrag Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe? berichtet. Inzwischen gab es in Großbritannien Verhaftungen und auch Anklagen gegen Beschuldigte.

Dreist und und unlogisch, aber erfolgreich

Der Fall der LAPSUS$-Gruppe zeigt, wie löchrig es um das Thema Sicherheit bei den sogenannten Tech-Konzernen bestellt ist. Denn einer Gruppe von Teenagern ist es gelungen, erfolgreich in die IT-Systeme große Unternehmen wie Microsoft, Samsung, Ubisoft und Okta einzudringen. Auch die Telekom USA wurde wohl mehrfach gehackt.


Anzeige

Claire Tills, Senior Research Engineer bei Tenable, hat einen tiefen Einblick in die Operationen der LAPSUS$-Gruppe gewonnen. Er schreibt dazu, dass die Taktik der Gruppe zwar dreist, unlogisch und wenig durchdacht ist, aber dennoch erfolgreich war, um bei großen internationalen Technologieunternehmen Störungen zu verursachen. Dies sei eine ernüchternde Erinnerung daran, dass kein Unternehmen wirklich sicher vor Cyberangriffen ist, da mittlerweile große ebenso wie kleine Unternehmen zum Freiwild für die Angreifer geworden sind.

Es geht ums Geld

Im Gegensatz zu Ransomware-Betreibern repräsentiert LAPSUS$ eine wachsende Gruppe von Cyberkriminellen, die sich ausschließlich auf Datendiebstahl und Erpressung konzentrieren. Sie verschaffen sich durch bewährte Methoden wie Phishing Zugang zu den Opfern und stehlen die sensibelsten Daten, die sie finden können, ohne datenverschlüsselnde Malware einzusetzen. Die Gruppe rückte ins Rampenlicht, als sie Ende Februar einen Angriff auf Nvidia startete. Mit diesem Angriff betrat LAPSUS$ zum ersten Mal die Weltbühne und begann einen kurzen Raubzug durch große Technologieunternehmen.

Im Gegensatz zu anderen Bedrohungsgruppen operiert LAPSUS$ ausschließlich über eine private Telegram-Gruppe und betreibt keine Leak-Site im Dark Web. Über Telegram kündigt die Gruppe ihre Opfer an und bittet die Community oft um Vorschläge, welche Unternehmensdaten als nächstes veröffentlicht werden sollen. Im Vergleich zu den ausgefeilten, standardisierten Websites von Ransomware-Gruppen (wie AvosLocker, LockBit 2.0, Conti etc.) wirken diese Praktiken unorganisiert und unreif.

Unkonventionellen Taktiken

Die LAPSUS$-Gruppe, die zuletzt eine Reihe hochkarätiger Ziele angriff, erlangte durch ihre unkonventionellen Taktiken und unberechenbaren Methoden Berühmtheit. Zu den ersten Angriffen gehörten Distributed Denial of Service (DDoS) und Website-Vandalismus. Aber bereits am 21. Januar war die LAPSUS$-Gruppe an dem mehrstufigen Einbruch ins System beteiligt, der schließlich zu dem Vorfall bei Okta führte. Während dieses Entwicklungsprozesses stützte sich die Gruppe stark auf klassische Taktiken wie den Kauf von Zugangsdaten-Dumps, Social-Engineering-Helpdesks und das Versenden von Aufforderungen zur Multifaktor-Authentifizierung (MFA), um einen ersten Zugang zu den Zielunternehmen zu erhalten.

Fazit von Tenable

"Genau wie Ransomware werden auch Erpressungsangriffe kein Ende finden, solange sie nicht zu kompliziert oder zu kostspielig werden", erklärte Claire Tills, Senior Research Engineer bei Tenable. "Unternehmen sollten prüfen, welche Abwehrmechanismen sie gegen die verwendeten Taktiken haben, wie sie gehärtet werden können und ob ihre Reaktionspläne diese Vorfälle effektiv berücksichtigen. Auch wenn es leichtfällt, Bedrohungsgruppen wie LAPSUS$ herunterzuspielen, erinnert uns ihre Störung großer internationaler Technologieunternehmen daran, dass selbst einfache Taktiken ernsthafte Auswirkungen haben können."

Ähnliche Artikel:
Nvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen
Ubisoft durch Lapsus$-Cyber-Gang gehackt (März 2022)
Samsung bestätigt Hack, Quellcodes durch Lapsus$ geleakt
Authentifizierungsdienst OKTA durch Lapsus$ gehackt?
Lapsus$ veröffentlicht angeblich Quellcode von Microsoft Azure, Bing und Cortana
Lapsus$-Hacks: Stellungnahmen von Okta und Microsoft
Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe?
7 Teenager im Zusammenhang mit den LAPSUS$-Hacks verhaftet
Okta gesteht "Lapsus" bezüglich Offenlegung beim "Lapsus$-Hack" ein
Lapsus$: Zwei britische Teenager wegen Hackens angeklagt
Chats zeigen: LAPSUS$ hatte wohl auch T-Mobile mehrfach gehackt


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

17 Antworten zu LAPSUS$ deckt Sicherheitslücken bei Tech-Unternehmen auf

  1. Stephan sagt:

    Naja, Microsoft und Samsung sind zwar große Unternehmen, aber schon immer für Schlamperei bekannt. Ich würde die qualitativ nicht mit Apple oder Google vergleichen wollen.
    Mein Samsung Galaxy ist immer noch auf dem Sicherheitsstand vom 1. Mai, das heißt es hat nichtmal alle Mai-Updates*. Neue Updates? Fehlanzeige. Das war häufig so, irgendwann kommen sie dann Monate später. Samsung ist das Siemens Koreas. Ein riesiger Mischkonzern, der mit viel Korruption und Verbindungen zur Politik in seine Too-Big-To-Fail-Position gekommen ist.
    Und was soll man zu Microsoft noch sagen? Internet Explorer charakterisiert die Firma einfach am besten. Microsoft verhält sich zu Google und Apple wie Internet Explorer zu Firefox und Chrome.
    Jedes Produkt von Microsoft ist wie Internet Explorer. Outlook ist der Internet Explorer unter den Mail User Agents, der einzige mit dem man Angst vor Mails haben muß. Excel ist der Internet Explorer unter den Spreadsheets, Rechenfehler inklusive. Azure und Office 354 sind die Internet Explorer unter den Clowns, so viele Störung hat nichtmal die Deutsche Telekom.

    *) Google hat die Updates für Android in zwei Teile geteilt. Eins heißt dann zum Beispiel 1. Mai und eins heißt 5. Mai. Am Monatsersten werden nur die absolut kritischsten Fehler behoben. Das haben sie gemacht, weil zu viele Hersteller sonst gar keine Updates auf die Kette bekommen haben. Die Tatsache, daß Samsung die Updates vom Monatsersten nimmt, spricht Bände, wie schlecht sie ihre Software im Griff haben.

    • Buster Friendly sagt:

      Jeder Apple-Jünger ist wie ein 403 – man kann nur warten, bis er wieder weg ist.

    • Rob sagt:

      Nur mal als Info:
      Samsung hat eine sehr gute Übersicht, wie häufig die Geräte Updates erhalten:
      https://security.samsungmobile.com/workScope.smsb

      Die neueren Galaxy S Modelle bspw. monatlich.

      • Stephan sagt:

        Wow, laut dieser Seite kriegt es nur Quartalsupdates. Das ist ja noch schlimmer als die Monatsersten.
        Und dann ist die Freigabe der Updates auch noch vom Land und Mobilfunknetz abhängig …

        • Mobilfunkexperte sagt:

          Ja, das hat man eben davon, wenn man die Mobilfunknetzanbieter ihre eigenen Süppchen in der mitgelieferten Bloatware App Landschaft kochen lässt.

          Früher mal bei O2 Homezone u.ä. und auch noch in den Anfangszeiten der Smartphone Apps wurde dafür das SIM-ToolKit verwendet, wo anbieterspezifische Dinge auf der SIM Karte gespeichert bzw. auch ausgeführt wurden. Nur wenige wissen heute noch, dass in jeder SIM Karte ein eigener Mikroprozessor und ein Betriebssystem enthalten sind. Bei dieser Konstruktion konnte man beliebige Updates von Android & Co. direkt installieren, da die jeweiligen Netzbetreiberfunktionen nicht darin enthalten waren.

          Dann kamen die Zeiten des Brandings und von dritter Seite gut bezahlter vorinstallierter (Tracking-)Kram je nach Anbieter usw., mit dem bekannten Effekt der stark verzögerten, weil jeweils dort zu prüfenden Updates je nach Mobilfunkanbieter, wobei das SIM-Toolkit immer noch genutzt werden kann/könnte.

          Der aktuelle Trend eSIM verlagert alles komplett ins Betriebssystem des Handys und ggf. darunter gelagerte Baseband-Chips, also wird die Updatesituation bzgl. Häufigkeit nicht besser werden, ausser man verbietet den Netzbetreibern ihre eigenen App Spielchen (viel Erfolg dabei).

          • Stephan sagt:

            Nein, das Handy ist von keinem Mobilfunkanbieter gekauft. JEDES Update von jedem Gerät mit Mobilfunkmodem muß von ALLEN Betreibern vorher freigegeben werden. Es ist total absurd. Deshalb kommen die Updates in anderen Ländern sofort und in D/CH oft Wochen später.

          • Mobilfunkexperte sagt:

            @Stephan: Dann vergleiche einfach mal die Inhalte der Updates je nach Land, erfordert ggf. etwas Reverse Engineering Erfahrung.

            Falls Dein Samsung Gerät eine EUX Firmware als Basis hat, kannst Du die dafür erscheinenden EU-weiten Updates direkt nach Erscheinen installieren.

    • mw sagt:

      Es mag richtig sein, dass Google und Apple eher zur security by design Fraktion gehören, was bei Microsoft sicher nicht der Fall ist. Dafür haben sie als Mega-Datenkraken andere Nachteile. Alle diese Unternehmen sind m. M. n. nur sehr begrenzt vertrauenswürdig. Wenn die IT bei Microsoft nur annähernd so ist, wie die Produkte, die sie ausliefern, dann wundert es mich nicht dass eine Teeniegruppe die hackt. Ich habe da nur wenig Mitleid mit den gehackten Firmen. Wer ranzige Software verwendet und kein Geld in qualifizierte Mitarbeiter investiert sondern nur Schwätzer mandatiert hat es wohl nicht anders verdient. Leider ist bis heute kein Umdenken in Sicht. Bedeutet denn nun die neue (?) Strategie von Frau Faeser, dass künftig Microsoft und Cisco Produkte, denen es an security by design mangelt, verbannt werden? Es wäre wohl an der zeit eine Gefährdungshaftung einzuführen.

  2. Frank Eiger sagt:

    Dieses sinnfreie und substanzlose MS-Bashing ist schlichtweg zum Kotzen.

    • Günter Born sagt:

      Zu deinem Kommentar fällt mir nur ein: "Die Schönheit liegt im Auge des Betrachters" – also einfach entspannen.

      PS: Der erste Satz von Stephan zu "Schlamperei" und "Microsoft" unterschreibe ich sofort. Es gibt Beispiele, alleine hier im Blog, dafür (anderes lege ich nicht offen, wenn mir mal wieder eine Kommunikation mit dem MS-Sicherheitsteam zu einer Sicherheitslücke als cc zugeht). Ob man das als sinnfreies Bashing kategorisiert, muss jeder selbst beurteilen. Und die Ausführungen von mw zur MS-IT würde ich mit ein wenig Insider-Wissen auch nicht als "substanzlos" abtun. Andererseits muss man auch im Hinterkopf behalten, dass es sich um Großunternehmen handelt. Wer jemand in so einer Organisation gearbeitet hat, dürfte eine Ahnung davon haben, was im Tagesgeschäft alles schief gehen kann. Also, muss jeder für sich kategorisieren, ob er auf entsprechende Produkte setzt und wie viel er vertraut.

  3. Cornelia sagt:

    Ich bin überzeugt davon, dass es in allen Grossunternehmen viele qualifizierte Leute gibt und das diese vieles richtig machen – auch punkto IT-Sicherheit. Ansonsten wären sie gar nie in ihre heutige Position gelangt oder hätten sich da nicht lange behaupten können.
    Je mehr Mitarbeiter in einem Unternehmen aber arbeiten, desto grösser ist das Risiko, dass irgendetwas schief läuft, weil entweder die "Quality Engineers" etwas zu wenig genau kontrollieren oder weil einige Vorgesetzten kaum Ahnung haben, was genau ihre "Schäfchen" (Untergebenen) den ganzen Tag machen und ihnen gemachte Fehler entgehen, auf die sie die Mitarbeiter eigentlich hinweisen sollten/müssten.
    Und wenn das Ganze auffliegt, ist vielleicht schon der Teufel los und es muss in kürzester Zeit eine Korrektur des Fehlers erfolgen, weil ansonsten die "von ganz oben" sauer werden. Inwiefern eine solche Hau-Ruck-Lösung gut ist, kann man sich etwa denken.

    Meine Anmerkung zu Samsung:
    Lieber gewisse Geräte mit Verzögerung – und dafür richtig – patchen, als alles sofort einspielen ohne zu wissen, ob die Funktionalität nachteilig beeinträchtigt wird.

    • Stephan sagt:

      Sobald Android (Google) ein Update veröffentlicht, ist die Lücke bekannt und hochgefährlich. Das sind jetzt alle Lücken für Juni und Juli.
      Die Updates dafür sind bei anderen Herstellern bereits getestet und an Millionen von Kunden ausgeliefert. Samsung schläft dabei, dieselben Updates für ihre Kunden auszuliefern.
      Bei samsungspezifischer Software ist das was anderes, aber von denen rede ich nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.