{"id":263657,"date":"2022-03-24T01:40:17","date_gmt":"2022-03-24T00:40:17","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263657"},"modified":"2022-03-25T01:28:03","modified_gmt":"2022-03-25T00:28:03","slug":"stecken-kids-aus-england-und-brasilien-hinter-der-lapsus-hacker-gruppe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/24\/stecken-kids-aus-england-und-brasilien-hinter-der-lapsus-hacker-gruppe\/","title":{"rendered":"Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe?"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die Lapsus$-Gruppe macht ja erst seit Anfang 2022 durch spektakul\u00e4re Hacks Furore. Nvidia, Samsung, Microsoft, Okta sind Namen von Firmen, die in diesem Zusammenhang auftauchen. Sicherheitsforscher glauben, dass sie Mitglieder dieser Gruppen enttarnt haben. Mastermind soll ein 16-J\u00e4hriger aus Oxford, Gro\u00dfbritannien sein. Aber auch ein Teenager aus Basilien geh\u00f6rt mutma\u00dflich der Bande an. Erg\u00e4nzung:<\/strong> Weitere Insides hinzugef\u00fcgt.<\/p>\n

<\/p>\n

\"\"\u00dcber die Hacks der Lapsus$-Gruppe hatte ich die letzten Tage ja mehrfach berichtet – siehe Links am Artikelende. Die Lapsus$-Gruppe hat Cybersecurity-Experten durch eine Reihe von Hacks auf prominente Namen von gro\u00dfen Firmen verwirrt. Microsoft erkl\u00e4rt in diesem Artikel<\/a> recht l\u00e4nglich, wie die Lapsus$-Angreifer (dort DEV-0537 genannt) beim Hack von Firmen und Organisationen vorgehen. Angesichts der hochkar\u00e4tigen Ziele war es f\u00fcr mich nur eine Frage der Zeit, bis da einzelne Akteure den Fahndern ins Netz gehen w\u00fcrden.<\/p>\n

Jetzt berichtet die Nachrichtenseite Bloomberg in diesem Artikel<\/a>, dass einige K\u00f6pfe hinter der Gruppe enttarnt seien. Vier Sicherheitsforscher haben im Auftrag der angegriffenen Unternehmen eine Reihe von Angriffen der Hackergruppe Lapsus$ auf Technologieunternehmen, darunter Microsoft Corp. und Nvidia Corp., untersucht. Die Cyberforscher haben forensische Beweise aus den Hacks sowie \u00f6ffentlich verf\u00fcgbare Informationen verwendet, um die Urheber herauszufinden und zu benennen.<\/p>\n

16 j\u00e4hriger Teenager aus Oxford<\/h2>\n

Dabei gelang es den Sicherheitsforschern die Angriffe auf einen 16-J\u00e4hrigen zur\u00fcckzuf\u00fchren, der im Haus seiner Mutter in der N\u00e4he von Oxford, England, lebt (man muss wohl sagen \"lebte\", denn meinen Informationen nach ist der nun 17-J\u00e4hrige wohl in Richtung Spanien unterwegs – andere Informationen besagen, dass er einer von sieben britischen Teenagern sei, die wegen Hacker-Aktivit\u00e4ten unter Arrest stehen\". Der Name des Hackers, der unter den Online-Pseudonymen \"White\" (auf Doxbin) und \"breachbase\" auftritt, wurde nicht genannt. Der Grund: Die Person ist wohl noch minderj\u00e4hrig und wurde von den Strafverfolgungsbeh\u00f6rden noch nicht \u00f6ffentlich eines Fehlverhaltens beschuldigt.<\/p>\n

Aktuell halten die Fachleute den Teenager f\u00fcr den Drahtzieher und Mastermind der Lapsus$-Gang. Allerdings konnten die Sicherheitsforscher den Teenager nicht eindeutig mit jedem Hack in Verbindung bringen, den Lapsus$ f\u00fcr sich reklamiert hat.<\/p>\n

Zweiter Teenager in Brasilien lokalisiert<\/h2>\n

Laut Bloomberg konnten die Sicherheitsforscher ein weiteres mutma\u00dfliches Mitglied der Gruppe identifizieren. Es handelt sich den Ermittlern zufolge bei diesem Mitglied vermutlich um einen Teenager mit Wohnsitz in Brasilien. Der Teenager sei so geschickt im Hacken – und so schnell -, dass die Forscher zun\u00e4chst dachten, die Aktivit\u00e4ten, die sie beobachteten, seien automatisiert, gab eine der mit der Angelegenheit betraute Person gegen\u00fcber Bloomberg an.<\/p>\n

Eine weitere Person, die die Aktivit\u00e4ten der Gruppe untersuchte, sagte gegen\u00fcber Bloomberg, dass die Sicherheitsforscher sieben einzigartige Konten identifiziert haben, die mit der Hackergruppe in Verbindung stehen. Das l\u00e4sst darauf schlie\u00dfen, dass wahrscheinlich noch weitere Personen an den Operationen der Gruppe beteiligt sind.<\/p>\n

Geld und Ruhm als Motivation?<\/h2>\n

Der Operationsmodus der Gruppe besteht darin, Unternehmen zu hacken, dann dort Daten zu stehlen und ein L\u00f6segeld von den Opfern zu verlangen. Ohne L\u00f6segeld-Zahlung drohen die Hacker mit der Ver\u00f6ffentlichung der Daten. Die Hacker haben dabei sogar Zoom-Calls mit den Opfern f\u00fcr Verhandlungen genutzt.<\/p>\n

Die Motivation hinter den Angriffen ist noch unklar, aber einige Cybersicherheitsforscher glauben, dass die Gruppe durch Geld und Ber\u00fchmtheit motiviert ist. Allerdings sieht es, laut zwei Sicherheitsforschern, bei den Jungs schlecht mit dem Verdecken ihrer Operationen aus. Den Forschern zufolge leidet die Gruppe unter mangelnder operativer Sicherheit. Dies erm\u00f6glichte den Cybersecurity-Unternehmen, intime Kenntnisse \u00fcber die jugendlichen Hacker zu erlangen.<\/p>\n

Microsoft verfolgt die Aktivit\u00e4ten von Lapsus$ als \"DEV-0537\" und schreibt in einem Blogeintrag<\/a>, dass die Gruppe erfolgreich Insider in den betroffenen Unternehmen rekrutiert hat, um bei den Hacks zu helfen. Bei Microsoft hei\u00dft es weiter:<\/p>\n

Im Gegensatz zu den meisten Aktivit\u00e4tsgruppen, die unter dem Radar bleiben, scheint DEV-0537 seine Spuren nicht zu verwischen. Sie gehen sogar so weit, ihre Angriffe in sozialen Medien anzuk\u00fcndigen oder ihre Absicht bekanntzugeben, Anmeldedaten von Mitarbeitern der Zielorganisationen zu kaufen.<\/p><\/blockquote>\n

DEV-0537 hatte es zun\u00e4chst auf Organisationen in Gro\u00dfbritannien und S\u00fcdamerika abgesehen, hat sich aber auf globale Ziele ausgeweitet, darunter Organisationen in den Bereichen Regierung, Technologie, Telekommunikation, Medien, Einzelhandel und Gesundheitswesen. Die pers\u00f6nlichen Daten des jugendlichen Hackers aus England wurden, einschlie\u00dflich seiner Adresse und Informationen \u00fcber seine Eltern, von rivalisierenden Hackern online gestellt.<\/p>\n

Bloomberg schreibt, dass in den geleakten Unterlagen ein bescheidenes Reihenhaus in einer ruhigen Seitenstra\u00dfe in der N\u00e4he von Oxford (5 Meilen entfernt) aufgef\u00fchrt ist. Ein Bloomberg-Reporter konnte mit der Mutter des Jungen 10 Minuten per Gegensprechanlage an der Haust\u00fcr sprechen. Die Frau gab an, weder von den Anschuldigungen gegen ihren Sohn noch von dem geleakten Material gewusst zu haben. Die Mutter verweigerte eine weitere Stellungnahme und verwies darauf, dass die Angelegenheit Sache der Strafverfolgungsbeh\u00f6rden sei und sie werde sich an die Polizei wenden.<\/p>\n

Die Thames Valley Police und die National Crime Agency, die f\u00fcr die Untersuchung von Hackerangriffen in Gro\u00dfbritannien zust\u00e4ndig ist, reagierten nicht sofort auf Nachrichten \u00fcber den mutma\u00dflichen jugendlichen Hacker. Die FBI-Au\u00dfenstelle in San Francisco, die mindestens einen der Lapsus$-Eingriffe untersucht, lehnte eine Stellungnahme auf Anfrage von Bloomberg ab.<\/p>\n

Inzwischen deutet sich nach dem Okta-Hack an, dass die Hacker sich eine Auszeit nehmen wollen. Im Telegram-Kanal hei\u00dft es von der Gruppe dazu:<\/p>\n

Ein paar unserer Mitglieder haben Urlaub bis zum 30.3.2022. Wir werden vielleicht f\u00fcr einige Zeit ruhig sein. Danke, dass ihr uns versteht.\u00a0 Wir werden versuchen, das Material so schnell wie m\u00f6glich zu leaken.<\/p><\/blockquote>\n

Bleibt abzuwarten, was da noch so heraus kommt und ob sich die Informationen von Bloomberg best\u00e4tigen.<\/p>\n

Weitere Informationen und Insides<\/h2>\n

Erg\u00e4nzung:<\/strong> Brian Krebs hat die Nacht diesen Artikel<\/a> zu Lapsus$ mit diversen Informationen ver\u00f6ffentlicht, der weiteres Licht in die Angelegenheit bringt. Allison Nixon, Chief Research Officer bei Unit 221B, einer einer in New York ans\u00e4ssigen Beratungsfirma f\u00fcr Cybersicherheit, die Cyberkriminelle, die am SIM-Swapping beteiligt sind, genau verfolgt, hat weitere Informationen beigesteuert. In Zusammenarbeit mit Forschern des Sicherheitsunternehmens Palo Alto Networks hat Nixon die Aktivit\u00e4ten einzelne Mitglieder von LAPSUS$ vor deren Eintritt in die Hackergruppe verfolgt.<\/p>\n

Mit Social Engineering zum Erfolg<\/h3>\n

Nixon sagt, dass die von der Gruppe angewandten Social-Engineering-Techniken zum Erlangen von Zugriffen auf Benutzerkonten seit langem missbraucht werden, um Mitarbeiter und Auftragnehmer der gro\u00dfen Mobilfunkunternehmen anzugreifen. Brian Krebs zitiert Nixon so:<\/p>\n

LAPSUS$ k\u00f6nnte der erste sein, der dem Rest der Welt deutlich macht, dass es viele weiche Ziele gibt, die keine Telekommunikationsunternehmen sind. Die Welt ist voll von Zielen, die es nicht gewohnt sind, auf diese Weise angegriffen zu werden.<\/p><\/blockquote>\n

Im Microsoft-Beitrag findet sich die Information, dass LAPSUS$ daf\u00fcr bekannt ist, dass er sich Zugang zu den Unternehmen der Opfer verschafft, indem er die Malware \"Redline\" zum Diebstahl von Passw\u00f6rtern einsetzt, \u00f6ffentliche Code-Repositories nach offengelegten Passw\u00f6rtern durchsucht und Anmeldedaten und Sitzungs-Tokens in kriminellen Foren kauft. Das w\u00fcrde dann auch den \"Erfolg\" der Gruppe erkl\u00e4ren – da stand Social Engineering im Vordergrund, um an Zugangsdaten f\u00fcr IT-Systeme zu kommen.<\/p>\n

Am Electronic Arts-Hack beteiligt<\/h3>\n

Nixon zufolge war mindestens ein Mitglied von LAPSUS$ auch an dem Einbruch bei dem Spielehersteller Electronic Arts (EA) im letzten Jahr beteiligt (hatte ich hier im Blog nicht thematisiert). Die Erpresser forderten dort eine Zahlung im Austausch f\u00fcr das Versprechen, erbeuteten\u00a0 Quellcode im Wert von 780 GB nicht zu ver\u00f6ffentlichen. In einem Interview mit Motherboard behaupteten die Hacker, Zugang zu den Daten von EA erhalten zu haben, nachdem sie Authentifizierungs-Cookies f\u00fcr einen EA-Slack-Kanal von einem Dark-Web-Marktplatz namens Genesis gekauft hatten.<\/p>\n

Die Leute hinterlassen Spuren<\/h3>\n

Sicherheitsspezialist Allison Nixon ist durch seine Beobachtungen auf interessante Zusammenh\u00e4nge gesto\u00dfen. Die Person, die unter dem Alias \"WhiteDoxbin oder Oklaqq\" die ersten Insider-Rekrutierungsversuche unternahm, wird als Anf\u00fchrer der Gruppe vermutet. Diese Person tritt zwar unter mehreren Namen in vielen Telegram-Kan\u00e4len\u00a0 auf. Da Telegram aber alle Pseudonyme f\u00fcr ein Konto unter derselben Telegram-ID zusammenfasst, l\u00e4sst sich die Verbindung nachvollziehen.<\/p>\n

Ein Nutzer hat im Mai 2021 die mit dem Alias \"WhiteDoxbin\" verkn\u00fcpfte Telegram ID verwendet, um ein Konto bei einem Telegram-basierten Dienst f\u00fcr DDoS-Angriffe (Distributed Denial-of-Service) zu erstellen. Dort trat dieser Nutzer als @breachbase auf. Die Nachricht \u00fcber den EA-Hack im letzten Jahr wurde zuerst von einem Benutzer mit dem Namen \"Breachbase\" auf der englischsprachigen Hacker-Community RaidForums gepostet. Diese Plattform wurde k\u00fcrzlich vom FBI beschlagnahmt.<\/p>\n

Kauf von Doxbin war ein Fehler<\/h3>\n

Nixon sagt, dass es sich bei White (Alias auf Doxbin, WhiteDoxbin auf Telegram und dem Mastermind hinter LAPSUS$) um dieselbe Person handelt, die im vergangenen Jahr Doxbin gekauft habe (siehe diesen Bericht<\/a> vom Januar 2022). Das ist eine seit langem betriebene, textbasierte Website, auf der jeder die pers\u00f6nlichen Daten einer Zielperson ver\u00f6ffentlichen oder pers\u00f6nliche Daten von Hunderttausenden finden kann, die bereits enttarnt (doxed) wurden. White hat dort auch einen Eintrag, zu dem Dritte einige Informationen eingetragen haben (ob die stimmen, kann ich nicht beurteilen).<\/p>\n

Leider sei es dem K\u00e4ufer nicht gelungen, die Doxbin-Webseite reibungslos am Laufen zu halten, hei\u00dft es. Es gab wohl ziemlichen Stunk, und Mitglieder waren unzufrieden, es scheint ziemlich hoch her gegangen zu sein. Nixon dazu:<\/p>\n

Er war kein guter Administrator und konnte die Website nicht richtig zum Laufen bringen. Die Doxbin-Community war ziemlich ver\u00e4rgert, also begannen sie, ihn ins Visier zu nehmen und ihn zu bel\u00e4stigen.<\/p><\/blockquote>\n

Laut Nixon stimmte White im Januar 2022 widerwillig zu, die Kontrolle \u00fcber Doxbin abzugeben. Er verkaufte das Forum mit einem betr\u00e4chtlichen Verlust an den vorherigen Eigent\u00fcmer. Kurz bevor er das Forum aufgab, ver\u00f6ffentlichte White jedoch den gesamten Doxbin-Datensatz (einschlie\u00dflich privater Doxes, die als Entw\u00fcrfe auf der Website unver\u00f6ffentlicht geblieben waren) auf Telegram.<\/p>\n

Es gibt aber wohl auch ein Leak, was noch fr\u00fcher die Daten von Doxbin offen legte.<\/p><\/blockquote>\n

Dadurch schlug die Doxbin-Community heftig zur\u00fcck und ver\u00f6ffentlichte jede Menge Material \u00fcber White – auf Doxbin -Link: *ttps:\/\/doxbin.com\/upload\/white –\u00a0 (einschlie\u00dflich Videos, die angeblich nachts vor dem Haus im Vereinigten K\u00f6nigreich aufgenommen wurden) um ihn zu enttarnen. Das Material diente jetzt dazu, die Identit\u00e4t und die Aktivit\u00e4ten der Person herauszufinden. K\u00f6nnte nat\u00fcrlich alles ein gro\u00dfer Fake sein.<\/p>\n

Laut Eintr\u00e4gen auf Doxbin begann White mit dem Kauf und Verkauf von Zero-Day-Schwachstellen. In einem Doxbin-Eintrag hei\u00dft es, dass die Person langsam anfing, Geld zu verdienen, um seine Exploit-Sammlung weiter auszubauen. Nach einigen Jahren sei sein Nettoverm\u00f6gen auf weit \u00fcber 300 BTC (fast 14 Millionen Dollar) angewachsen.<\/p>\n

Im Oktober 2020 postete White<\/em> unter dem Alias Breachbase<\/em> dann in Raidforums, dass sein Budget 100000 Dollar in Bitcoins (BTC) betrage und schrieb:<\/p>\n

Die Person, die mich an jemanden weiterleitet, bekommt 10000 $ BTC. Antworte auf den Thread, wenn du jemanden kennst oder irgendwo dieses Zeug verkaufst. HINWEIS: Der 0day muss hohe\/kritische Auswirkungen haben.<\/p><\/blockquote>\n

Auch Brian Krebs legt die Identit\u00e4t des nun wohl 17 J\u00e4hrigen nicht offen, schreibt aber, dass White\/Doxbin laut Nixon vor der Gr\u00fcndung von LAPSUS$ ein Gr\u00fcndungsmitglied der \"Recursion Team\" Cyber-Gang war. Laut der inzwischen nicht mehr existierenden Website der Gruppe waren sie vor allem auf SIM-Swapping interessanter Ziele und die Teilnahme an \"Swatting\"-Angriffen spezialisiert. Bei letzteren werden falsche Bombendrohungen, Geiselnahmen und andere Gewaltszenarien bei der Polizei\u00a0 gemeldet. Ziel ist es, die Polizei dazu zu bringen, die Adresse des Ziels mit potenziell t\u00f6dlicher Gewalt aufzusuchen.<\/p>\n

\u00dcbrigens: Gibt keine Ehre unter den Hackern – wie dieser Tweet<\/a> zeigt. Der LAPSUS$-Admin White aka Alexander aka sigmaphoned hat dem Doxbin-Admin \"KT\" $25.000 bezahlt, damit seine Daten von der Plattform verschwinden und er falsche Informationen \u00fcber die Identit\u00e4t ver\u00f6ffentlicht. Der Doxbin-Administrator hat das Geld genommen, aber die Daten online gelassen, wie man auf Doxbin nachlesen kann.<\/p>\n

Erg\u00e4nzung:<\/strong> Es gab erste Verhaftungen, siehe\u00a07 Teenager im Zusammenhang mit den LAPSUS$-Hacks verhaftet<\/a>.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nNvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen<\/a>
\nUbisoft durch Lapsus$-Cyber-Gang gehackt (M\u00e4rz 2022)<\/a>
\nSamsung best\u00e4tigt Hack, Quellcodes durch Lapsus$ geleakt<\/a>
\nAuthentifizierungsdienst OKTA durch Lapsus$ gehackt?<\/a>
\nLapsus$ ver\u00f6ffentlicht angeblich Quellcode von Microsoft Azure, Bing und Cortana<\/a>
\nLapsus$-Hacks: Stellungnahmen von Okta und Microsoft<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Lapsus$-Gruppe macht ja erst seit Anfang 2022 durch spektakul\u00e4re Hacks Furore. Nvidia, Samsung, Microsoft, Okta sind Namen von Firmen, die in diesem Zusammenhang auftauchen. Sicherheitsforscher glauben, dass sie Mitglieder dieser Gruppen enttarnt haben. Mastermind soll ein 16-J\u00e4hriger aus Oxford, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-263657","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263657","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263657"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263657\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263657"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263657"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263657"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}