Microsoft udsat for Hacking uden Ransomware, ved første øjekast

UP2DATE: Microsoft har netop til the VERGE anerkendt at de er blevet hacket. De siger at der ikke er kundedata med i dette hack. Det bekræfter Microsoft her.

En kendt Hackergruppe lækker 37 gigabyte data fra Microsoft. Microsoft siger at de undersøger sagen, men det er det samme som at anerkende det siger flere eksperter.

De hackede filer er kildekode til flere Microsoft-projekter og må betegnes som en af det største hacker/ransomware historier for tiden.

Mens Microsoft undersøger, og mens andre får bøder for at skjule hacking og Ransomware, drejer sagen sig nærmere om, at der allerede ligger store mængder af af data på Darknet med killdekoden til flere Microsoft projekter. Det er sket før, men flere iagtagere påpeger at man nu har hacket hele 250 Microsoft projekter, hvor flere er til dagligt brug.

På Darknet kan for tiden se 37 gigabyte kildekode til over 250 projekter, herunder kildekoden til Bing (søgemaskinen) og Cortana. Endnu engang er det hackergruppen Lapsus$, der står bag.

Hackergruppen Lapsus$ hævder at de 37 gigabyte stjålne data er fra Microsofts interne Azure DevOps-server, der angiveligt indeholder kildekode til Bing, Cortana og andre projekter tilknyttet Microsofts webbaserede infrastruktur, websteder og mobilapps. Det skriver bl.a. Bleeping Computer der har kontaktet Microsoft, men de siger at de er i gang med at undersøge sagen.

Det gør ondt for tiden på Microsoft fordi mange mister tilliden til Microsoft Windows Defender

Tidligere har Microsoft været ramt af problemer med deres sikkerheder fordi man kan bede Windows Defender om, ikke at scanne forskellige mapper, og dermed kan malware og ransomware gemmer i netop disse mapper. Det var et meget stort sikkerhedshul, der fjernede tilliden til produktet. Om det nu er det samme der er sket internt i Microsoft’s organisation er ikke til at sige, da Microsoft siden offentliggørelsen, ikke har ville udtale sig.

I hvertfald lagde Lapsus$ i går, søndag, et screenshot op på hackergruppens Telegram-side, der indikerede, at gruppen havde hacket Microsofts Azure DevOps-server. Dagen efter offentliggøre de en torrent til et 7-Zip-arkiv, der ifølge hackergruppen indeholder 37 gigabyte kildekode til over 250 Microsoft-projekter.

Filen indeholder ifølge Lapsus$ 90 pct. af kildekoden til Bing og cirka 45 pct. af koden til Bing Maps og Cortana.

Flere eksperter bekræfter, at de lækkede data lader til at være intern kildekode fra Microsoft.

Ikke en traditionel Ransomware bande

I modsætning til mange afpresningsgrupper, som vi læser om i dag, så er Lapsus$ ikke en tradiotionel ransomware gruppe. De installerer nemlig slet ikke Ransomware på deres offers servere.

I stedet målretter de kampagner der handler om at finde kildekodelagrene til store virksomheder. Derefter stjæler de deres proprietære data og forsøger derefter at afpresse virksomhederne for millioner af dollars.

En del af de virksomheder er f.eks.:

  • Sundhedsministeriet i Brasilien
  • Claro Teleccom
  • Impresa Forlaget
  • Localiza Biludlejning
  • NVIDIA Bitcoin Mining Udbyder
  • Samsung Mobiltelefonproducent
  • Vodafone Teleselskab
  • Ubisoft Spiludbyder
  • Mercado Libre Ecommerce
  • Og nu Microsoft

Fra gruppens Telegram konto blev der offentliggjort dette skærmdump:

Skærmbilledet viser også andre kildekodelagre, men det er ukendt, hvad der er indeholdt i dem.

Mærkeligt nok forlod afpresningsbanden initialerne for den indloggede bruger, “IS”, i skærmbilledet, hvilket potentielt gjorde det muligt for Microsoft at identificere og sikre den kompromitterede konto. Inkludering af initialerne kan også betyde, at de ikke længere har adgang til lageret eller blot håner Microsoft, hvilket afpresningsbanden vides at gøre med tidligere ofre.

Her er det truslerne over NVIDIA, som havde sat en øvre grænse for effektiviteten af deres Bitcoin mining produkter.

Er kildekodelækager dårlige?

Mens lækagen af kildekode gør det lettere at finde sårbarheder i en virksomheds software, har Microsoft tidligere udtalt, at lækket kildekode ikke skaber en forhøjelse af risikoen.

Microsoft siger, at deres trusselsmodel forudsætter, at trusselsaktører allerede forstår, hvordan deres software fungerer, hvad enten det er gennem reverse engineering eller tidligere kildekodelækager.

“Hos Microsoft har vi en åben kildetilgang, med brug af bedste praksis for open source-softwareudvikling og en open source-lignende kultur, til at gøre kildekode synlig i Microsoft. Det betyder, at vi ikke er afhængige af kildekodens hemmeligholdelse for produkternes sikkerhed, og vores trusselsmodeller antager, at angribere har kendskab til kildekode,”

“Så visning af kildekode er ikke bundet til forhøjelse af risikoen.”

siger Microsoft i et tidligere blogindlæg om SolarWinds-angriberne.

Kildekodelagre indeholder dog også ofte adgangstokens, legitimationsoplysninger, API-nøgler og endda kodesigneringscertifikater der kan misbruges.

Da Lapsus$ brød NVIDIA og frigav deres data, inkluderede det også kodesigneringscertifikater, som andre trusselsaktører hurtigt brugte til at underskrive deres egen malware. Brugen af NVIDIAs egne kodesigneringscertifikater fik flere antivirus programmer til at stole på den eksekverbare fil og ikke registrere den som ondsindet.

Vi regner med at se indholdet af filerne snart, da hackerne forventer at frigøre filerne, medmindre Microsoft betaler.

Vi anser gruppens udmelding som troværdig fordi det gruppen tidligere har sagt, har holdt stik.

Kilde: Bleebing Computer og Laspsus$ samt Microsoft vedr – logovignet.

 

Scroll til toppen