{"id":263688,"date":"2022-03-25T01:26:15","date_gmt":"2022-03-25T00:26:15","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263688"},"modified":"2023-06-22T12:59:37","modified_gmt":"2023-06-22T10:59:37","slug":"7-teenager-im-zusammenhang-mit-den-lapsus-hacks-verhaftet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/25\/7-teenager-im-zusammenhang-mit-den-lapsus-hacks-verhaftet\/","title":{"rendered":"7 Teenager im Zusammenhang mit den LAPSUS$-Hacks verhaftet"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[English]Vor einigen Stunden hatte ich ja im Artikel <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/24\/stecken-kids-aus-england-und-brasilien-hinter-der-lapsus-hacker-gruppe\/\">Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe?<\/a> berichtet, dass Sicherheitsforscher glauben, den Mastermind der LAPSUS$-Gang enttarnt zu haben. Nun wurde bekannt, dass die britische Polizei sieben Teenager im Zusammenhang mit den Aktivit\u00e4ten der LAPSUS$-Gang festgenommen hat. <strong>Erg\u00e4nzung:<\/strong> Weitere Informationen von Palo Alto Networks nachgetragen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg02.met.vgwort.de\/na\/f8298bd8b90b4e4093013b36bae4ee4e\" alt=\"\" width=\"1\" height=\"1\" \/>Die Lapsus$-Gruppe macht ja erst seit Anfang 2022 durch spektakul\u00e4re Hacks Furore (erstmals in Erscheinung getreten ist die Gruppe im Herbst 2021).\u00a0Nvidia, Samsung, Microsoft, Okta sind Namen von Firmen, die in diesem Zusammenhang als Opfer von Hacks auftauchen. Hier einige Info-Splitter dazu:<\/p>\n<ul>\n<li>\u00a0Okta ist ein Anbieter von Authentifizierungsdiensten in der Cloud, der von der Lapsus$-Gruppe <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/22\/authentifizierungsdienst-okta-durch-lapsus-gehackt\/\" target=\"_blank\" rel=\"noopener\">gehackt<\/a> wurde und dann einige Folgesch\u00e4den nach sich zog.<\/li>\n<li>Mitte Februar 2022 musste Nvidia einen Hack seiner IT-Infrastruktur <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/05\/nvidia-hack-daten-und-source-code-offen-gelegt-zertifikate-gestohlen\/\" target=\"_blank\" rel=\"noopener\">eingestehen<\/a>. Debei wurden nicht nur die (Anmelde-)Daten von 71.000 Mitarbeitern durch die Hacker sondern auch Zertifikate gestohlen.<\/li>\n<li>Im M\u00e4rz 2022 war Ubisoft mit einem Hack <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/12\/ubisoft-durch-lapsus-cyber-gang-gehackt-mrz-2022\/\" target=\"_blank\" rel=\"noopener\">dran<\/a>, der Hersteller hat diesen Cyberangriff inzwischen best\u00e4tigt und die Cyber-Gang Lapsus$ hat die Verantwortung f\u00fcr den Cyberangriff \u00fcbernommen.<\/li>\n<li>Dann gab es im M\u00e4rz 2023 ebenfalls die <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/22\/lapsus-verffentlicht-angeblich-quellcode-von-microsoft-azure-bing-und-cortana\/\">Meldung<\/a>, dass die Hackergruppe Lapsuss$ die Repositories mit den Quellcodes der Microsoft-Produkte Azure, Bing, Bing Maps und Cortana gehackt und Quellcode abgezogen zu habe.<\/li>\n<\/ul>\n<p>\u00dcber die Hacks der Lapsus$-Gruppe hatte ich die letzten Tage ja mehrfach berichtet \u2013 siehe auch die Links am Artikelende.\u00a0Microsoft erkl\u00e4rt in <a href=\"https:\/\/www.microsoft.com\/security\/blog\/2022\/03\/22\/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction\/\">diesem Artikel<\/a> recht l\u00e4nglich, wie die Lapsus$-Angreifer (dort DEV-0537 genannt) beim Hack von Firmen und Organisationen vorgehen.<\/p>\n<p>Vier Sicherheitsforscher haben im Auftrag der angegriffenen Unternehmen eine Reihe von Angriffen der Hackergruppe Lapsus$ auf Technologieunternehmen, darunter Microsoft Corp. und Nvidia Corp., untersucht. Die Cyberforscher haben forensische Beweise aus den Hacks sowie \u00f6ffentlich verf\u00fcgbare Informationen verwendet, um die Urheber herauszufinden und zu benennen.<\/p>\n<p>Dabei kristallisierte sich wohl heraus, dass da keine ausgebufften Cyber-Kriminellen mit staatlicher Unterst\u00fctzung t\u00e4tig sind. Vielmehr nutzten Teenager clever die Schwachstellen der Unternehmen \u00fcber Social Engineering aus.\u00a0\u00dcber die Details hatte ich im Artikel <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/24\/stecken-kids-aus-england-und-brasilien-hinter-der-lapsus-hacker-gruppe\/\">Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe?<\/a> berichtet.<\/p>\n<h2>Verhaftungen in Gro\u00dfbritannien<\/h2>\n<p>Die BBC berichtet in <a href=\"https:\/\/www.bbc.com\/news\/technology-60864283\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a>, auf den ich \u00fcber nachfolgenden <a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1507009310429093889\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> aufmerksam wurde, dass sieben Teenager im Zusammenhang mit den Aktivit\u00e4ten der LAPSUS$-Gang verhaftet worden seien.<\/p>\n<p><a href=\"https:\/\/twitter.com\/GossiTheDog\/status\/1507009310429093889\" target=\"_blank\" rel=\"noopener\"><img decoding=\"async\" title=\"7 Teenagers arrested in connection to LAPSUS$\" src=\"https:\/\/i.imgur.com\/7DYp8dq.png\" alt=\"7 Teenagers arrested in connection to LAPSUS$\" \/><\/a><\/p>\n<p>Darunter befindet sich wohl der mittlerweile 17 Jahre alte Teenager, der in der N\u00e4he von Oxford wohnt und als Mastermind der LAPSUS$-Gang angesehen wird. Der Teenager, der durch Hacken 14 Millionen Dollar (10,6 Millionen Euro) erbeutet haben soll, wurde von rivalisierenden Hackern und Sicherheitsforschern enttarnt.<\/p>\n<p>Unter seinem Online-Namen \"White\" oder \"Breachbase\" soll der Jugendliche, der an Autismus leidet, Mitglieder der Hackergruppe Lapsus$, die auch Mitglieder in S\u00fcdamerika zu haben scheint, sein. Die Polizei der Stadt London hat nach eigenen Angaben sieben Teenager im Zusammenhang mit der LAPSUS$-Gang verhaftet, will aber nicht sagen, ob White einer der Verhafteten ist. Dazu hei\u00dft es von der Polizei:<\/p>\n<blockquote><p>Sieben Personen im Alter zwischen 16 und 21 Jahren wurden im Zusammenhang mit den Ermittlungen gegen eine Hackergruppe festgenommen. Sie wurden alle im Rahmen der Ermittlungen wieder freigelassen. Unsere Ermittlungen dauern noch an.<\/p><\/blockquote>\n<p>Der Teenager, dessen Name aus rechtlichen Gr\u00fcnden von der BBC nicht genannt werden kann, besucht laut obigem Artikel eine Sonderschule in Oxford. Die Mutter des Jugendlichen, die von Reportern kontaktiert wurde, will von den Aktivit\u00e4ten nichts mitbekommen haben. Der Vater des Jungen, der meinen Informationen nach getrennt von der Mutter lebt, sagte der BBC: \"Ich hatte bis vor kurzem noch nie etwas davon geh\u00f6rt. Er hat nie \u00fcber das Hacken gesprochen, aber er kennt sich sehr gut mit Computern aus und verbringt viel Zeit am Computer. Ich dachte immer, er w\u00fcrde Spiele spielen.<\/p>\n<p>Kann aber auch eine Schutzbehauptung sein, denn auf einer Doxing-Seite hei\u00dft es, dass dem Vater in Gespr\u00e4chen bewusst gewesen sein muss, dass der Sohn ein Hacker ist. Jetzt will der Vater versuchen, den Jungen vom Computer fernzuhalten. Nach meinen Informationen war die Polizei der Gruppe aber schon l\u00e4nger auf der Spur und reagierte m\u00f6glicherweise jetzt auf die Ver\u00f6ffentlichung der Informationen \u00fcber den Hacker.<\/p>\n<h2>Erkenntnisse von Palo Alto Networks<\/h2>\n<p>Erg\u00e4nzung: Ich habe von Palo Alto Networks noch einige Informationen erhalten, die das Bild zur LAPSUS$-Gang abrunden. Deren Sicherheitsforscher sind erstaunt, dass dieser Bedrohungsakteur sich in nur wenigen Monaten von einer Handvoll zerst\u00f6rerischer Angriffe zum Stehlen und Ver\u00f6ffentlichen von Quellcode mehrerer f\u00fchrender Technologieunternehmen entwickelt hat.<\/p>\n<h3>Keine Ransomware-Gruppe<\/h3>\n<p>Interessant finde ich, die Einstufung der Gruppe, hatte ich doch Hinweise gelesen, dass auch Ransomware eingesetzt worden sei. Palo Alto Networks, schreibt dazu, dass Lapsus$ in Berichten manchmal als Ransomware-Gruppe bezeichnet werde, die Gang sich es sich dadurch auszeichnet, dass sie bei Erpressungsversuchen keine Ransomware einsetzt.<\/p>\n<p>In der heutigen Umgebung w\u00fcrden Bedrohungsakteure die Verwendung von Ransomware bevorzugen, um Daten und Systeme zu verschl\u00fcsseln, und erpressen Opfer oft f\u00fcr erhebliche Mengen an Kryptow\u00e4hrung im Austausch f\u00fcr Entschl\u00fcsselungsschl\u00fcssel, wobei sie manchmal den Druck erh\u00f6hen, indem sie mit der Ver\u00f6ffentlichung gestohlener Daten drohen. Lapsus$ sei jedoch in seiner Herangehensweise ungew\u00f6hnlich \u2013 f\u00fcr diese Gruppe scheint eher Bekanntheit als finanzieller Gewinn das Ziel zu sein.<\/p>\n<h3>Social Engineering als Hebel<\/h3>\n<p>Unit 42 hat Organisationen dabei geholfen, auf mehrere Lapsus$-Angriffe zu reagieren. Die Lapsus$-Gruppe setzt, so Palo Alto Networks. keine Malware in Opferumgebungen ein, verschl\u00fcsselt keine Daten und wendet in den meisten F\u00e4llen keine Erpressung an. Sie konzentrieren sich auf die Verwendung einer Kombination aus gestohlenen Zugangsdaten und Social Engineering, um Zugang zu den Opfern zu erhalten. Die Sicherheitsforscher haben auch gesehen, wie sie Mitarbeiter auf Telegram um ihre Anmeldeinformationen bei bestimmten Unternehmen in Branchen gebeten haben, darunter: Telekommunikation, Software, Spiele, Hosting-Anbieter und Callcenter. Das war aber bisher alles bekannt.<\/p>\n<h3>Sch\u00e4den k\u00f6nnen hoch sein<\/h3>\n<p>Die Angriffe der Gruppe und das Ver\u00f6ffentlichen gestohlener Daten k\u00f6nnen jedoch auch ohne Erpressung sehr sch\u00e4dlich sein. Dar\u00fcber hinaus haben die Sicherheitsforscher und Forensiker destruktive Lapsus$-Angriffe gesehen, bei denen die Akteure Zugriff auf die Cloud-Umgebung eines Unternehmens erhielten, Systeme l\u00f6schten und \u00fcber tausend virtuelle Maschinen zerst\u00f6rten.<\/p>\n<h3>Zusammenfassung der Unit 42-Erkenntnisse<\/h3>\n<p>Es gibt keine \u00f6ffentlichen Indikatoren f\u00fcr Kompromittierung (IoCs) und keine Taktiken, Techniken und Verfahren (TTPs), die nur bei der Lapsus$-Gang genutzt werden. Die Sicherheitsforscher haben aber eine Zusammenfassung erstellt, was \u00fcber diesen Bedrohungsakteur bekannt ist, um es den Verteidigern zu erm\u00f6glichen. Ziel soll es sein, Angriffe besser zu verstehen und die Bedrohung (durch \u00e4hnliche Angriffe) abzuschw\u00e4chen. Zu den j\u00fcngsten \u00f6ffentlich bekannten Opfern geh\u00f6rten:<\/p>\n<ul>\n<li>NVIDIA<\/li>\n<li>Samsung<\/li>\n<li>Ubisoft<\/li>\n<li>Vodafone<\/li>\n<li>Microsoft<\/li>\n<li>LG<\/li>\n<li>Okta<\/li>\n<\/ul>\n<p>Allerdings gibt es zus\u00e4tzlich weitere (vermutlich viele weitere ) Opfer, die Ziel von Angriffen waren, was aber in der \u00d6ffentlichkeit nicht bekannt wurde. Den Angriff vom Dezember 2021 auf das Ministerium f\u00fcr Gesundheit in Brasilien wurde hier im Blog und auch in den Medien nicht so breit diskutiert. Auch den Angriff auf das portugiesische Medienunternehmen Impresa hatte ich hier im Blog nicht angesprochen &#8211; es gibt t\u00e4glich einfach zu viele Hacks, Schwachstellen und Ransomware-F\u00e4lle. Die Sicherheitsforscher beobachteten Lapsus$ erstmals Mitte 2021, die erste Angriffsaktivit\u00e4t unter diesem Namen fand im August 2021 statt, als einige britische Mobilfunkkunden berichteten, Drohungen erhalten zu haben.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/JZKuL8f.png\" \/><\/p>\n<p>Es ist wahrscheinlich, dass einige Opfer nicht das beabsichtigte Endziel sind, sondern eher verletzt werden, um Zugang zu ihren Kunden zu erhalten oder beispielsweise dabei zu helfen, die Multi-Faktor-Authentifizierung (MFA) zu umgehen.\u00a0 Die Unit 42 hat in dieser Hinsicht die Beteiligung dieses Akteurs an Vishing, SIM-Swapping und der Anwerbung Dritter bei Anbietern f\u00fcr Insider-Zugang beobachtet. Der Einbruch beim Authentifizierungsdienst Okta wird als Beweis f\u00fcr diese Theorie herangezogen, denn der Bedrohungsakteur aht auf dem Telegram-Kanal der Lapsus$-Gruppe erkl\u00e4rt: \"\u2026 unser Fokus lag NUR auf Okta-Kunden.\"<\/p>\n<p>Die wichtigste Erkenntnis: Da die Gruppe eine Vielzahl von Techniken f\u00fcr Angriffe verwendet, kann keine einzelne Technik vor Lapsus$ sch\u00fctzen oder seine Angriffe erkennen. Aus diesem Grund empfehlen die Sicherheitsforscher Unternehmen, sich darauf zu konzentrieren, allgemeine Best Practices f\u00fcr die Informationssicherheit zu befolgen. Und da scheint einiges im Argen zu liegen, wenn man sieht, dass einige Teenager mit finanziellen Verlockungen und Tricks in die IT-Systeme bekannter Unternehmen wie Microsoft oder den Authentifizierungsdienst Okto einbrechen konnten.<\/p>\n<p>Unit 42 identifizierte zusammen mit Forschern von Unit 221b den Hauptakteur hinter dem Spitznamen Lapsus$ Group im Jahr 2021 und unterst\u00fctzte die Strafverfolgungsbeh\u00f6rden bei ihren Bem\u00fchungen, diese Gruppe strafrechtlich zu verfolgen. Die Zusammenfassung in Englisch, angereichert mit vielen Screenshots der Gruppe, wurde von Palo Alto Networks in <a href=\"https:\/\/unit42.paloaltonetworks.com\/lapsus-group\/\" target=\"_blank\" rel=\"noopener\">diesem Artikel<\/a> ver\u00f6ffentlicht.<\/p>\n<p>Pers\u00f6nlich finde ich es erstaunlich, wie letztendlich Jugendliche mit einer gewissen Chuzpe und zus\u00e4tzlich Pertinenz die Sicherheitssysteme von Weltformen \u00fcber einfaches Social Engineering oder gekaufte Zugangsdaten \u00fcberlisten k\u00f6nnen. Letztendlich wurden die Sicherheitsbranche und die gehackten Firmen ziemlich vorgef\u00fchrt. Das ist kein gutes Zeichen, wie es um unsere Sicherheit bestellt ist.<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong><a href=\"https:\/\/borncity.com\/blog\/2022\/03\/05\/nvidia-hack-daten-und-source-code-offen-gelegt-zertifikate-gestohlen\/\">Nvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/12\/ubisoft-durch-lapsus-cyber-gang-gehackt-mrz-2022\/\">Ubisoft durch Lapsus$-Cyber-Gang gehackt (M\u00e4rz 2022)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/08\/samsung-besttigt-hack-quellcodes-durch-lapsus-geleakt\/\">Samsung best\u00e4tigt Hack, Quellcodes durch Lapsus$ geleakt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/22\/authentifizierungsdienst-okta-durch-lapsus-gehackt\/\">Authentifizierungsdienst OKTA durch Lapsus$ gehackt?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/22\/lapsus-verffentlicht-angeblich-quellcode-von-microsoft-azure-bing-und-cortana\/\">Lapsus$ ver\u00f6ffentlicht angeblich Quellcode von Microsoft Azure, Bing und Cortana<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/23\/lapsus-hacks-stellungnahmen-von-okta-und-microsoft\/\">Lapsus$-Hacks: Stellungnahmen von Okta und Microsoft<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2022\/03\/24\/stecken-kids-aus-england-und-brasilien-hinter-der-lapsus-hacker-gruppe\/\">Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe?<\/a><strong><br \/>\n<\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Vor einigen Stunden hatte ich ja im Artikel Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe? berichtet, dass Sicherheitsforscher glauben, den Mastermind der LAPSUS$-Gang enttarnt zu haben. Nun wurde bekannt, dass die britische Polizei sieben Teenager im Zusammenhang mit &hellip; <a href=\"https:\/\/borncity.com\/blog\/2022\/03\/25\/7-teenager-im-zusammenhang-mit-den-lapsus-hacks-verhaftet\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-263688","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263688","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263688"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263688\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263688"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263688"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263688"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}