Lapsus
Lapsus$형성 | c. 2021 |
---|---|
유형 | 사이버범죄조직 |
본사 | 알 수 없는 |
지역 | 국제 |
방법들 | 스피어피싱, SIM스왑, 소셜미디어를 통한 공범 모집 |
회원가입 | 7 (2022년 3월 견적) |
공용어 | 영어 |
소속 | 알 수 없는 |
LAPSUS$로 양식화되고 마이크로소프트에 의해 Strawberry [1]Tempest로 분류된 Lapsus$는 기업과 [3][4]정부 기관에 대한 다양한 사이버 공격으로 유명한 국제적인[2] 착취 중심의 해커 집단입니다.이 단체는 전세계적으로 활동하고 있으며 브라질과 [5]영국에서 조직원들을 체포했습니다.
이 단체의 구성은 시티오브런던 경찰에 의해 설명되었는데, 구성원 중 최소 2명은 10대들이었습니다.Lapsus$는 소셜 엔지니어링, MFA 피로도, SIM 스와핑, 공급업체 대상화 등 다양한 공격 벡터를 사용합니다.그룹이 대상 조직 내의 권한 있는 직원에 대한 자격 정보를 얻으면 그룹은 원격 데스크톱 도구 사용을 포함한 다양한 방법을 통해 중요한 데이터를 획득하려고 시도합니다.갈취 시도가 이어집니다.메시지 앱 텔레그램은 비록 그 [6]사용이 줄어들었지만, 그들의 피해자들로부터 민감한 데이터를 모집하고 게시하는 것을 포함하여 대중과의 소통을 위해 사용되었습니다.
Lapsus$의 첫 번째 주요 사이버 공격은 2021년 [7]12월 브라질 보건부의 컴퓨터 시스템에 대한 공격이었습니다.2022년 3월, Lapus$는 마이크로소프트, 엔비디아 및 삼성을 포함한 대형 기술 회사에 대한 일련의 사이버 공격으로 악명을 떨쳤습니다.이러한 공격 이후 런던시 경찰은 라퍼스 [8]달러에 대한 경찰 수사와 관련하여 7명을 체포했다고 발표했습니다.이 그룹은 2022년 4월까지 활동하지 않는 것으로 간주되었지만, 2022년 9월 우버와 록스타 게임스를 포함한 유사한 공격 벡터를 통해 다양한 대기업에 대한 일련의 데이터 침해와 함께 런던 시 경찰과 브라질 [5]경찰에 의해 다시 체포된 것으로 추정됩니다.이 그룹은 2022년 9월 이후 활동을 중단한 것으로 보이며, 회원들이 다른 그룹으로 분산되었을 가능성이 있고, 두 명의 [9]영국인 회원이 유죄 판결을 받았습니다.
공격
브라질 보건부 (2021)
Lapsus$에 의해 발생한 최초의 사이버 공격은 브라질 보건부에 대한 것이었습니다.12월 10일 금요일 오전 1시경 보건부 웹사이트가 다운되었습니다.Lapsus$는 국방부 홈페이지에 "데이터를 [7]돌려받고 싶다면 연락주세요"라는 글을 남겼는데, 내부 [citation needed]서버에 50TB의 데이터가 유출되고 삭제된 것으로 보입니다.그 메시지에는 그들의 텔레그램과 이메일 [7]주소도 포함되어 있었습니다.금요일 오후에 메시지가 제거되었지만 웹사이트는 여전히 작동하지 않으며 Connect의 사용자 데이터가 있습니다.브라질 국민에게 코로나 백신 접종 증명서를 제공하는 SUS 앱이 삭제돼 여행객들이 혼란에 빠졌습니다.
2022년 10월 19일 바이아 주 페이라 데 산타나에서 라퍼스$ 회원으로 추정되는 브라질 시민이 경찰에 체포되었으며 다크 [citation needed]클라우드 작전 이후 브라질 보건부와 다른 사이버 범죄를 공격한 혐의로 기소되었습니다.Lapsus$ 공격에는 경제부, 연방 감사관, 연방 고속도로 [citation needed]경찰과 같은 브라질 연방 정부 기관과 기관들의 수십 개의 다른 공격 대상들이 포함되어 있습니다.데이터가 영구적으로 [citation needed]삭제된 것으로 나타납니다.
Okta (2022)
2022년 1월 21일, Lapus$는 타사 고객 지원 엔지니어의 손상된 계정을 통해 ID 및 액세스 관리 회사 Okta의 서버에 액세스할 수 있게 되었습니다.2022년 [10][11]1월 25일, 오카는 위반 사실을 확인했습니다.최종 포렌식 보고서에 따르면, 옥타의 최고 보안 책임자 데이비드 브래드버리는 공격자가 현재 활동 중인 두 고객에게만 접근했다고 말했습니다.Okta는 Lapsus$가 Okta의 고객 네트워크를 침해했음을 암시하는 스크린샷을 텔레그램 채널에 공유한 후 해킹 주장을 조사하기 시작했습니다.처음에 Okta는 Lapsus$ 해커가 1월 16일부터 1월 21일 사이에 Sitel 지원 엔지니어의 노트북에 "5일 동안" 원격 데스크톱(RDP) 액세스 권한을 얻었다고 말했습니다.
엔비디아 (2022)
2022년 2월 23일, 기술 회사 엔비디아(Nvidia)는 자사 시스템에 대한 침해를 인지하게 되었습니다.Lapsus$는 Nvidia의 1 테라바이트 데이터를 보유하고 있다고 주장하며, Nvidia가 [12][3]장치 드라이버를 오픈 소스화하지 않을 경우 "RTX 3090Ti 및 향후 개정판을 포함한 모든 최신 Nvidia GPU의 완전한 실리콘, 그래픽 및 컴퓨터 칩셋 파일"을 공개할 것이라고 위협했습니다.3월 3일, Nvidia의 직원 71,000명에 대한 자격증이 [13]온라인으로 공개되었습니다.
삼성 (2022)
2022년 3월 4일, Lapus$는 삼성 갤럭시 계열의 전화기 소스 코드를 포함하여 전화기 제조사인 삼성의 내부 데이터에 190 GB의 급류를 게시했습니다.삼성 측은 사흘 [14]뒤 배임 사실을 확인했습니다.
메르카도 리브레 (2022)
2022년 3월 8일, 아르헨티나 전자상거래 기업 메르카도 리브레는 300,000명의 고객에 대한 사용자 데이터가 라푸스$에 의해 액세스되었음을 확인했습니다. 이 그룹은 또한 메르카도 [15]리브레에 속한 24,000개의 저장소에 액세스할 수 있다고 주장했습니다.
유비소프트 (2022)
2022년 3월 10일, 게임 회사 유비소프트는 사용자 데이터에 [16]접근하지는 않았지만 "사이버 보안 사고"가 발생했음을 확인했습니다.
T-모바일 (2022)
2022년 3월 17일, Lapus$는 통신 회사 T-모바일 내의 직원 계정에 액세스했습니다."화이트"라는 가명으로 활동하는 랩서스$의 저명한 회원이 연방수사국과 미 국방부의 T-모바일 계정에 접속을 시도했지만 실패했습니다.그러나 Lapsus$는 [17]T-Mobile에 속한 소스 코드 저장소를 얻을 수 있었습니다.
마이크로소프트 (2022)
2022년 3월 20일, Lapus$는 기술 회사 마이크로소프트의 애저 데브옵스 서버의 스크린샷을 텔레그램 채널에 게시했습니다.다음 날, 이 그룹은 "빙 검색 [18][19][20][21]엔진 소스 코드의 90%"를 포함하는 37GB zip 파일을 공개했습니다.
글로반트 (2022)
2022년 3월 30일, 룩셈부르크에 본사를 둔 IT 회사 글로반트는 자사의 네트워크가 [22]뚫렸다고 확인했습니다.
우버 (2022)
2022년 9월 15일, Lapus$의 마지막 공격 이후 거의 6개월 만에 서비스형 모빌리티 기업 우버가 공격을 [23]받았다고 발표했습니다.
록스타 게임즈 (2022)
2022년 9월 18일, 그랜드 테프트 오토 게임과 관련된 90개의 비디오가 GTA 포럼에 [24]등장했습니다.그 해커는 랩서스$[25]와 제휴한 것으로 추정됩니다.
상호작용
이 그룹은 메시징 앱 텔레그램을 사용했으며, 랩서스$ 텔레그램 채널은 데이터 덤프를 발표하고 공범을 모집하는 데 사용되었습니다.2022년 3월 현재 [6]5만 명에 육박하는 가입자를 확보하고 있습니다.그 단체는 다음에 [26]어떤 단체를 목표로 삼아야 하는지에 대한 여론조사를 게시했습니다.
FBI는 2022년 [27]3월 21일 정보를 호소했습니다.
구성.
공소장에 따르면 이 단체의 주모자는 영국 옥스퍼드에 거주하는 16세 아리온 쿠르타즈였고, 또 다른 핵심 멤버는 [28][29][30]브라질의 10대입니다.블룸버그의 보도에 따르면 이 그룹은 7명의 멤버를 가지고 있으며 [31][28]최근에 결성되었을 가능성이 높다고 합니다.
체포 및 유죄판결
2022년 3월 24일, 16세에서 21세 사이의 7명이 런던 경찰에 의해 체포되었습니다.화이트라는 가명을 가진 조직의 유력한 일원으로 알려진 인물이 영국 옥스포드에서 체포되었습니다.그의 신원은 이전에 전직 동료에 의해 공개된 것으로 알려졌으며, 연구 그룹 221B 유닛 등 다양한 그룹이 [32]그의 신원을 확인한 것으로 알려졌습니다.2022년 [33][29]4월 1일, 저명한 멤버는 17세와 함께 기소되었습니다.그는 정신과 의사들로부터 재판을 [30]받기에 부적합하다는 평가를 받았지만, 2023년 8월까지 7주간의 법정 소송이 진행돼 17세와 저명한 멤버 모두 [9]유죄 판결을 받았습니다.
분석.
그룹이 가정한 모더스 오퍼랜디는 특권 직원들로부터 자격증을 취득함으로써 피해 조직의 기업 네트워크에 접근하는 것에 기반을 두고 있었습니다.이러한 자격 증명은 SIM [6]스와핑과 같은 방법을 사용하여 특권[34] 직원을 모집하거나 해킹하는 등 여러 가지 방법으로 획득되었습니다.그런 다음 Lapus$는 원격 데스크톱 또는 네트워크 액세스를 사용하여 고객 계정 세부 정보나 소스 코드와 같은 중요한 데이터를 획득했습니다.그리고 나서 이 단체는 [20]데이터를 공개하겠다고 협박하며 피해자 단체를 갈취했습니다.눈에 띄는 경우에는 그 후 데이터가 공개되고 텔레그램에 정보가 게시되었습니다.
Lapsus$는 [35][36][37]Uber에 대한 해킹에서 다중 요소 인증 피로 공격으로 알려진 사회 공학 전략을 사용했습니다.
Lapsus$가 사용한 방법은 2023년 [5]중반 미국 사이버 안전 검토 위원회의 검토 대상이었습니다.
참고문헌
- ^ "DEV-0537 criminal actor targeting organizations for data exfiltration and destruction". Microsoft Security Blog. 22 March 2022. Retrieved 24 March 2022.
- ^ "Defending against attacks". Security Insider. Microsoft Security. 22 August 2022. Retrieved 8 October 2022.
- ^ a b Goodin, Dan (4 March 2022). "Cybercriminals who breached Nvidia issue one of the most unusual demands ever". Ars Technica. Retrieved 14 March 2022.
- ^ Winder, Davey (8 March 2022). "Samsung Confirms Massive Galaxy Hack After 190GB Data Torrent Shared Via Telegram". Forbes. Retrieved 14 March 2022.
- ^ a b c d "Review of the attacks associated with Lapsus$ and associated threat groups" (PDF). CISA.Gov. US Government Cyber Safety Review Board. Archived (PDF) from the original on 10 August 2023. Retrieved 11 August 2023.
- ^ a b c Krebs, Brian (23 March 2022). "A Closer Look at the LAPSUS$ Data Extortion Group". Krebs On Security. Retrieved 24 March 2022.
- ^ a b c "Brazil health ministry website hit by hackers, vaccination data targeted". Reuters. 11 December 2021. Retrieved 24 March 2022.
- ^ Peters, Jay (24 March 2022). "Seven teenagers arrested in connection with the Lapsus$ hacking group".
- ^ a b "Lapsus$: Court finds teenagers carried out hacking spree". BBC News. 23 August 2023. Retrieved 23 August 2023.
- ^ Porter, Jon (22 March 2022). "Okta hack puts thousands of businesses on high alert". The Verge. Retrieved 22 March 2022.
- ^ Newman, Lily Hay (28 March 2022). "Leaked Details of the Lapsus$ Hack Make Okta's Slow Response Look More Bizarre". Wired. Retrieved 1 April 2022.
- ^ Clark, Mitchell (1 March 2022). "Nvidia says its 'proprietary information' is being leaked by hackers". The Verge.
- ^ Gatlan, Sergiu (3 March 2022). "NVIDIA data breach exposed credentials of over 71,000 employees". BleepingComputer. Retrieved 21 September 2022.
- ^ Glover, Claudia (7 March 2022). "Is Lapsus$ targeting Big Tech after Samsung breach?". Tech Monitor. Retrieved 14 March 2022.
- ^ Sharma, Ax. "E-commerce giant Mercado Libre confirms source code data breach". BleepingComputer. Retrieved 23 March 2022.
- ^ Peters, Jay (11 March 2022). "Ubisoft says it experienced a 'cyber security incident', and the purported Nvidia hackers are taking credit". The Verge. Retrieved 14 March 2022.
- ^ Krebs, Brian (22 April 2022). "Leaked Chats Show LAPSUS$ Stole T-Mobile Source Code". Krebs on Security. Retrieved 22 April 2022.
- ^ Cox, Joseph (21 March 2022). "Microsoft Investigating Claim of Breach by Extortion Gang". Motherboard. Vice. Retrieved 21 March 2022.
- ^ Clark, Mitchell; Lawler, Richard; Peters, Jay (22 March 2022). "Microsoft confirms Lapsus$ hackers stole source code via 'limited' access". The Verge. Vox Media. Retrieved 22 March 2022.
- ^ a b Abrams, Lawrence. "Lapsus$ hackers leak 37GB of Microsoft's alleged source code". BleepingComputer. Retrieved 23 March 2022.
- ^ Newman, Lily Hay (22 March 2022). "'This Is Really, Really Bad': Lapsus$ Gang Claims Okta Hack". Wired. Retrieved 23 March 2022.
- ^ Goodin, Dan (30 March 2022). "IT giant Globant discloses hack after Lapsus$ leaks 70GB of stolen data". Ars Technica. Retrieved 31 March 2022.
- ^ Bajak, Frank (16 September 2022). "Serious breach at Uber spotlights hacker social deception". AP NEWS. Retrieved 17 September 2022.
- ^ Kan, Michael (20 September 2022). "Uber Blames Recent Breach on LAPSUS$ Hacking Group". PCMag. Ziff Davis. Archived from the original on 19 September 2022. Retrieved 19 September 2022.
- ^ Robinson, Andy (19 September 2022). "Uber 'in contact with the FBI' over potential GTA 6 hacker". Video Games Chronicle. Gamer Network. Archived from the original on 19 September 2022. Retrieved 20 September 2022.
- ^ Newman, Lily Hay (15 March 2022). "The Lapsus$ Hacking Group Is Off to a Chaotic Start". Wired.
- ^ "Most Wanted: LAPSUS$". www.fbi.gov. 21 March 2022. Archived from the original on 3 April 2022. Retrieved 5 April 2022.
- ^ a b Turton, William; Robertson, Jordan (23 March 2022). "Teen Suspected by Cyber Researchers of Being Lapsus$ Mastermind". Bloomberg. Retrieved 23 March 2022.
- ^ a b "16-year-old living with his mom is mastermind behind Lapsus$ Microsoft hack, cyber detectives say". Fortune. Archived from the original on 1 August 2022. Retrieved 8 October 2022.
- ^ a b Tobin, Sam (11 July 2023). "Teen hacked Uber, Revolut and Grand Theft Auto maker, London court hears". Reuters. Retrieved 17 July 2023.
- ^ Burt, Jeff (17 March 2022). "Lapsus$ gang sends a worrying message to would-be criminals". www.theregister.com.
- ^ "Lapsus$: Oxford teen accused of being multi-millionaire cyber-criminal". BBC News. 24 March 2022. Retrieved 25 March 2022.
- ^ "Lapsus$: Two UK teenagers charged with hacking for gang". BBC News. 1 April 2022.
- ^ Paganini, Pierluigi (11 March 2022). "Lapsus$ Ransomware Group is hiring, it announced recruitment of insiders". Security Affairs. Retrieved 23 March 2022.
- ^ "MFA Fatigue: Hackers' new favorite tactic in high-profile breaches". BleepingComputer. Retrieved 20 September 2022.
- ^ Whittaker, Zack (19 September 2022). "How do you stop another Uber hack?". TechCrunch. Retrieved 20 September 2022.
- ^ Goodin, Dan (11 August 2023). "How fame-seeking teenagers hacked some of the world's biggest targets". Ars Technica. Retrieved 11 August 2023.
외부 링크