Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe?

Sicherheit (Pexels, allgemeine Nutzung)[English]Die Lapsus$-Gruppe macht ja erst seit Anfang 2022 durch spektakuläre Hacks Furore. Nvidia, Samsung, Microsoft, Okta sind Namen von Firmen, die in diesem Zusammenhang auftauchen. Sicherheitsforscher glauben, dass sie Mitglieder dieser Gruppen enttarnt haben. Mastermind soll ein 16-Jähriger aus Oxford, Großbritannien sein. Aber auch ein Teenager aus Basilien gehört mutmaßlich der Bande an. Ergänzung: Weitere Insides hinzugefügt.


Anzeige

Über die Hacks der Lapsus$-Gruppe hatte ich die letzten Tage ja mehrfach berichtet – siehe Links am Artikelende. Die Lapsus$-Gruppe hat Cybersecurity-Experten durch eine Reihe von Hacks auf prominente Namen von großen Firmen verwirrt. Microsoft erklärt in diesem Artikel recht länglich, wie die Lapsus$-Angreifer (dort DEV-0537 genannt) beim Hack von Firmen und Organisationen vorgehen. Angesichts der hochkarätigen Ziele war es für mich nur eine Frage der Zeit, bis da einzelne Akteure den Fahndern ins Netz gehen würden.

Jetzt berichtet die Nachrichtenseite Bloomberg in diesem Artikel, dass einige Köpfe hinter der Gruppe enttarnt seien. Vier Sicherheitsforscher haben im Auftrag der angegriffenen Unternehmen eine Reihe von Angriffen der Hackergruppe Lapsus$ auf Technologieunternehmen, darunter Microsoft Corp. und Nvidia Corp., untersucht. Die Cyberforscher haben forensische Beweise aus den Hacks sowie öffentlich verfügbare Informationen verwendet, um die Urheber herauszufinden und zu benennen.

16 jähriger Teenager aus Oxford

Dabei gelang es den Sicherheitsforschern die Angriffe auf einen 16-Jährigen zurückzuführen, der im Haus seiner Mutter in der Nähe von Oxford, England, lebt (man muss wohl sagen "lebte", denn meinen Informationen nach ist der nun 17-Jährige wohl in Richtung Spanien unterwegs – andere Informationen besagen, dass er einer von sieben britischen Teenagern sei, die wegen Hacker-Aktivitäten unter Arrest stehen". Der Name des Hackers, der unter den Online-Pseudonymen "White" (auf Doxbin) und "breachbase" auftritt, wurde nicht genannt. Der Grund: Die Person ist wohl noch minderjährig und wurde von den Strafverfolgungsbehörden noch nicht öffentlich eines Fehlverhaltens beschuldigt.

Aktuell halten die Fachleute den Teenager für den Drahtzieher und Mastermind der Lapsus$-Gang. Allerdings konnten die Sicherheitsforscher den Teenager nicht eindeutig mit jedem Hack in Verbindung bringen, den Lapsus$ für sich reklamiert hat.

Zweiter Teenager in Brasilien lokalisiert

Laut Bloomberg konnten die Sicherheitsforscher ein weiteres mutmaßliches Mitglied der Gruppe identifizieren. Es handelt sich den Ermittlern zufolge bei diesem Mitglied vermutlich um einen Teenager mit Wohnsitz in Brasilien. Der Teenager sei so geschickt im Hacken – und so schnell -, dass die Forscher zunächst dachten, die Aktivitäten, die sie beobachteten, seien automatisiert, gab eine der mit der Angelegenheit betraute Person gegenüber Bloomberg an.

Eine weitere Person, die die Aktivitäten der Gruppe untersuchte, sagte gegenüber Bloomberg, dass die Sicherheitsforscher sieben einzigartige Konten identifiziert haben, die mit der Hackergruppe in Verbindung stehen. Das lässt darauf schließen, dass wahrscheinlich noch weitere Personen an den Operationen der Gruppe beteiligt sind.

Geld und Ruhm als Motivation?

Der Operationsmodus der Gruppe besteht darin, Unternehmen zu hacken, dann dort Daten zu stehlen und ein Lösegeld von den Opfern zu verlangen. Ohne Lösegeld-Zahlung drohen die Hacker mit der Veröffentlichung der Daten. Die Hacker haben dabei sogar Zoom-Calls mit den Opfern für Verhandlungen genutzt.

Die Motivation hinter den Angriffen ist noch unklar, aber einige Cybersicherheitsforscher glauben, dass die Gruppe durch Geld und Berühmtheit motiviert ist. Allerdings sieht es, laut zwei Sicherheitsforschern, bei den Jungs schlecht mit dem Verdecken ihrer Operationen aus. Den Forschern zufolge leidet die Gruppe unter mangelnder operativer Sicherheit. Dies ermöglichte den Cybersecurity-Unternehmen, intime Kenntnisse über die jugendlichen Hacker zu erlangen.


Anzeige

Microsoft verfolgt die Aktivitäten von Lapsus$ als "DEV-0537" und schreibt in einem Blogeintrag, dass die Gruppe erfolgreich Insider in den betroffenen Unternehmen rekrutiert hat, um bei den Hacks zu helfen. Bei Microsoft heißt es weiter:

Im Gegensatz zu den meisten Aktivitätsgruppen, die unter dem Radar bleiben, scheint DEV-0537 seine Spuren nicht zu verwischen. Sie gehen sogar so weit, ihre Angriffe in sozialen Medien anzukündigen oder ihre Absicht bekanntzugeben, Anmeldedaten von Mitarbeitern der Zielorganisationen zu kaufen.

DEV-0537 hatte es zunächst auf Organisationen in Großbritannien und Südamerika abgesehen, hat sich aber auf globale Ziele ausgeweitet, darunter Organisationen in den Bereichen Regierung, Technologie, Telekommunikation, Medien, Einzelhandel und Gesundheitswesen. Die persönlichen Daten des jugendlichen Hackers aus England wurden, einschließlich seiner Adresse und Informationen über seine Eltern, von rivalisierenden Hackern online gestellt.

Bloomberg schreibt, dass in den geleakten Unterlagen ein bescheidenes Reihenhaus in einer ruhigen Seitenstraße in der Nähe von Oxford (5 Meilen entfernt) aufgeführt ist. Ein Bloomberg-Reporter konnte mit der Mutter des Jungen 10 Minuten per Gegensprechanlage an der Haustür sprechen. Die Frau gab an, weder von den Anschuldigungen gegen ihren Sohn noch von dem geleakten Material gewusst zu haben. Die Mutter verweigerte eine weitere Stellungnahme und verwies darauf, dass die Angelegenheit Sache der Strafverfolgungsbehörden sei und sie werde sich an die Polizei wenden.

Die Thames Valley Police und die National Crime Agency, die für die Untersuchung von Hackerangriffen in Großbritannien zuständig ist, reagierten nicht sofort auf Nachrichten über den mutmaßlichen jugendlichen Hacker. Die FBI-Außenstelle in San Francisco, die mindestens einen der Lapsus$-Eingriffe untersucht, lehnte eine Stellungnahme auf Anfrage von Bloomberg ab.

Inzwischen deutet sich nach dem Okta-Hack an, dass die Hacker sich eine Auszeit nehmen wollen. Im Telegram-Kanal heißt es von der Gruppe dazu:

Ein paar unserer Mitglieder haben Urlaub bis zum 30.3.2022. Wir werden vielleicht für einige Zeit ruhig sein. Danke, dass ihr uns versteht.  Wir werden versuchen, das Material so schnell wie möglich zu leaken.

Bleibt abzuwarten, was da noch so heraus kommt und ob sich die Informationen von Bloomberg bestätigen.

Weitere Informationen und Insides

Ergänzung: Brian Krebs hat die Nacht diesen Artikel zu Lapsus$ mit diversen Informationen veröffentlicht, der weiteres Licht in die Angelegenheit bringt. Allison Nixon, Chief Research Officer bei Unit 221B, einer einer in New York ansässigen Beratungsfirma für Cybersicherheit, die Cyberkriminelle, die am SIM-Swapping beteiligt sind, genau verfolgt, hat weitere Informationen beigesteuert. In Zusammenarbeit mit Forschern des Sicherheitsunternehmens Palo Alto Networks hat Nixon die Aktivitäten einzelne Mitglieder von LAPSUS$ vor deren Eintritt in die Hackergruppe verfolgt.

Mit Social Engineering zum Erfolg

Nixon sagt, dass die von der Gruppe angewandten Social-Engineering-Techniken zum Erlangen von Zugriffen auf Benutzerkonten seit langem missbraucht werden, um Mitarbeiter und Auftragnehmer der großen Mobilfunkunternehmen anzugreifen. Brian Krebs zitiert Nixon so:

LAPSUS$ könnte der erste sein, der dem Rest der Welt deutlich macht, dass es viele weiche Ziele gibt, die keine Telekommunikationsunternehmen sind. Die Welt ist voll von Zielen, die es nicht gewohnt sind, auf diese Weise angegriffen zu werden.

Im Microsoft-Beitrag findet sich die Information, dass LAPSUS$ dafür bekannt ist, dass er sich Zugang zu den Unternehmen der Opfer verschafft, indem er die Malware "Redline" zum Diebstahl von Passwörtern einsetzt, öffentliche Code-Repositories nach offengelegten Passwörtern durchsucht und Anmeldedaten und Sitzungs-Tokens in kriminellen Foren kauft. Das würde dann auch den "Erfolg" der Gruppe erklären – da stand Social Engineering im Vordergrund, um an Zugangsdaten für IT-Systeme zu kommen.

Am Electronic Arts-Hack beteiligt

Nixon zufolge war mindestens ein Mitglied von LAPSUS$ auch an dem Einbruch bei dem Spielehersteller Electronic Arts (EA) im letzten Jahr beteiligt (hatte ich hier im Blog nicht thematisiert). Die Erpresser forderten dort eine Zahlung im Austausch für das Versprechen, erbeuteten  Quellcode im Wert von 780 GB nicht zu veröffentlichen. In einem Interview mit Motherboard behaupteten die Hacker, Zugang zu den Daten von EA erhalten zu haben, nachdem sie Authentifizierungs-Cookies für einen EA-Slack-Kanal von einem Dark-Web-Marktplatz namens Genesis gekauft hatten.

Die Leute hinterlassen Spuren

Sicherheitsspezialist Allison Nixon ist durch seine Beobachtungen auf interessante Zusammenhänge gestoßen. Die Person, die unter dem Alias "WhiteDoxbin oder Oklaqq" die ersten Insider-Rekrutierungsversuche unternahm, wird als Anführer der Gruppe vermutet. Diese Person tritt zwar unter mehreren Namen in vielen Telegram-Kanälen  auf. Da Telegram aber alle Pseudonyme für ein Konto unter derselben Telegram-ID zusammenfasst, lässt sich die Verbindung nachvollziehen.

Ein Nutzer hat im Mai 2021 die mit dem Alias "WhiteDoxbin" verknüpfte Telegram ID verwendet, um ein Konto bei einem Telegram-basierten Dienst für DDoS-Angriffe (Distributed Denial-of-Service) zu erstellen. Dort trat dieser Nutzer als @breachbase auf. Die Nachricht über den EA-Hack im letzten Jahr wurde zuerst von einem Benutzer mit dem Namen "Breachbase" auf der englischsprachigen Hacker-Community RaidForums gepostet. Diese Plattform wurde kürzlich vom FBI beschlagnahmt.

Kauf von Doxbin war ein Fehler

Nixon sagt, dass es sich bei White (Alias auf Doxbin, WhiteDoxbin auf Telegram und dem Mastermind hinter LAPSUS$) um dieselbe Person handelt, die im vergangenen Jahr Doxbin gekauft habe (siehe diesen Bericht vom Januar 2022). Das ist eine seit langem betriebene, textbasierte Website, auf der jeder die persönlichen Daten einer Zielperson veröffentlichen oder persönliche Daten von Hunderttausenden finden kann, die bereits enttarnt (doxed) wurden. White hat dort auch einen Eintrag, zu dem Dritte einige Informationen eingetragen haben (ob die stimmen, kann ich nicht beurteilen).

Leider sei es dem Käufer nicht gelungen, die Doxbin-Webseite reibungslos am Laufen zu halten, heißt es. Es gab wohl ziemlichen Stunk, und Mitglieder waren unzufrieden, es scheint ziemlich hoch her gegangen zu sein. Nixon dazu:

Er war kein guter Administrator und konnte die Website nicht richtig zum Laufen bringen. Die Doxbin-Community war ziemlich verärgert, also begannen sie, ihn ins Visier zu nehmen und ihn zu belästigen.

Laut Nixon stimmte White im Januar 2022 widerwillig zu, die Kontrolle über Doxbin abzugeben. Er verkaufte das Forum mit einem beträchtlichen Verlust an den vorherigen Eigentümer. Kurz bevor er das Forum aufgab, veröffentlichte White jedoch den gesamten Doxbin-Datensatz (einschließlich privater Doxes, die als Entwürfe auf der Website unveröffentlicht geblieben waren) auf Telegram.

Es gibt aber wohl auch ein Leak, was noch früher die Daten von Doxbin offen legte.

Dadurch schlug die Doxbin-Community heftig zurück und veröffentlichte jede Menge Material über White – auf Doxbin -Link: *ttps://doxbin.com/upload/white –  (einschließlich Videos, die angeblich nachts vor dem Haus im Vereinigten Königreich aufgenommen wurden) um ihn zu enttarnen. Das Material diente jetzt dazu, die Identität und die Aktivitäten der Person herauszufinden. Könnte natürlich alles ein großer Fake sein.

Laut Einträgen auf Doxbin begann White mit dem Kauf und Verkauf von Zero-Day-Schwachstellen. In einem Doxbin-Eintrag heißt es, dass die Person langsam anfing, Geld zu verdienen, um seine Exploit-Sammlung weiter auszubauen. Nach einigen Jahren sei sein Nettovermögen auf weit über 300 BTC (fast 14 Millionen Dollar) angewachsen.

Im Oktober 2020 postete White unter dem Alias Breachbase dann in Raidforums, dass sein Budget 100000 Dollar in Bitcoins (BTC) betrage und schrieb:

Die Person, die mich an jemanden weiterleitet, bekommt 10000 $ BTC. Antworte auf den Thread, wenn du jemanden kennst oder irgendwo dieses Zeug verkaufst. HINWEIS: Der 0day muss hohe/kritische Auswirkungen haben.

Auch Brian Krebs legt die Identität des nun wohl 17 Jährigen nicht offen, schreibt aber, dass White/Doxbin laut Nixon vor der Gründung von LAPSUS$ ein Gründungsmitglied der "Recursion Team" Cyber-Gang war. Laut der inzwischen nicht mehr existierenden Website der Gruppe waren sie vor allem auf SIM-Swapping interessanter Ziele und die Teilnahme an "Swatting"-Angriffen spezialisiert. Bei letzteren werden falsche Bombendrohungen, Geiselnahmen und andere Gewaltszenarien bei der Polizei  gemeldet. Ziel ist es, die Polizei dazu zu bringen, die Adresse des Ziels mit potenziell tödlicher Gewalt aufzusuchen.

Übrigens: Gibt keine Ehre unter den Hackern – wie dieser Tweet zeigt. Der LAPSUS$-Admin White aka Alexander aka sigmaphoned hat dem Doxbin-Admin "KT" $25.000 bezahlt, damit seine Daten von der Plattform verschwinden und er falsche Informationen über die Identität veröffentlicht. Der Doxbin-Administrator hat das Geld genommen, aber die Daten online gelassen, wie man auf Doxbin nachlesen kann.

Ergänzung: Es gab erste Verhaftungen, siehe 7 Teenager im Zusammenhang mit den LAPSUS$-Hacks verhaftet.

Ähnliche Artikel:
Nvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen
Ubisoft durch Lapsus$-Cyber-Gang gehackt (März 2022)
Samsung bestätigt Hack, Quellcodes durch Lapsus$ geleakt
Authentifizierungsdienst OKTA durch Lapsus$ gehackt?
Lapsus$ veröffentlicht angeblich Quellcode von Microsoft Azure, Bing und Cortana
Lapsus$-Hacks: Stellungnahmen von Okta und Microsoft


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

13 Antworten zu Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe?

  1. Rainer Welsch sagt:

    Was für ein globales an die Wand fahren der alles mit Millionen, Milliarden Steuergeld gerechtfertigten Schaffung von Stellen von Versagern. Unglaublich aber wahr.

    Ein paar Jugendliche hebeln alles aus, wie kann das überhaupt ansatzweise passieren?!

    Oder sucht man sich einfache Opferrollen für eine ganz andere Agenda?

    Interessante Zeiten.

    Bitte nie aufhören, mitzudenken, sonst wird es zu einfach.

    • Cestmoi sagt:

      Betr. "mit Millionen, Milliarden Steuergeld gerechtfertigten Schaffung von Stellen von Versagern.":

      Mal etwas gröber: Auf den Staat einzuschlagen, trifft die Falschen. Schuld sind doch wohl eher die ach so tollen, freien Unternehmen, die unfähig sind, mit 'unseren Daten' verantwortungsvoll und sicher umzugehen.

      • Jackie sagt:

        Naja ich sehe es schon als Aufgabe des Staates die Regeln für das agieren der Unternehmen vorzugeben. Aber da hat der Staat, halt leider mal versagt. Mehr als den Unternehmen immer mehr Geld hinterherzuwerfen habe ich in den letzten 20 Jahren nicht gesehen. Ich rede hier nicht nur von der Finanzkrise, der Pandemie und jetzt den Folgen des Kriegs. Das Sondervermögen für die Bundeswehr ist doch auch wieder so ne "versteckte" Subvention für Rüstungsunternehmen. Aber klar wenn in der Kasse der Krankenkasse nach zwei Jahren Pandemie ein Loch auftaucht gibts kein Sondervermögen sondern eine Betragserhöhung für alle in Zeiten einer Inflation von 6%. Danke lieber Staat! Die Kaufprämie für E-Autos ist auch nur eine Subvention für die Automobil Industrie unter dem Deckmantel des Klimaschutzes. Denn wollte man wirklich Klimaschutz würde man endlich den kostenlosen ÖPNV für alle einführen! Ich denke diese ganzen Subventionen waren mit der Schaffung von Stellen für Versager mit Steuergeld gemeint.

  2. Luzifer sagt:

    naja es passiert den Hackern ja im allgemeinen nix, wenn sie erwischt werden. Ist also nen geringes Risiko. Siehts ja hier minderjährig —> nix passiert.

    Also ich zahle lieber nen Kopfgeld anstatt Lösegeld, dann kriegt solch Pack das was es verdient Und sind wir mal ehrlich: ob ich jetzt nen paar Millionen Lösegeld zahle oder das ganze als Kopfgeld rausgebe … weg ist weg, nur bei letzterem bescheißt mich der nie wieder.
    Ist zwar auch nicht die feine englische Art, aber was soll der Hacker machen der dann morgens irgendwo in Brasilien in der Gosse liegt? Man sollte sich eben immer vorher überlegen was man tut, irgendwann pisst man dem falschen ans Bein.

  3. janil sagt:

    Kaputte Welt und Gesellschaften, wo man hinguckt. Die Kids haben nichts mehr, was ihnen Anerkennung und Integration ermöglicht. Ist halt Kapitalismus, ach ne der entwickelte Kapitalismus oder sind wir doch schon im Imperialismus? So wie sich manche Diktatoren verhalten, könnte man es annehmen.
    Laufen noch genug IT-begabte, nicht gewollte Kids da draußen rum, das wird weitergehen. Lapsus bekommt dann nur einen anderen Namen und ein wenig mehr Tarnung.

  4. A. Nonym sagt:

    Das klingt ja wie im Kino "WhoAmI".

    Da werden Milliarden $ für IT-Security ausgegeben und der Erfolg ist …

  5. A. Nonym sagt:

    Leider kann ich nicht lesen, aber vielleicht gibt es eine Übersetzung:

    https://malware.news/t/footsteps-of-the-lapsus-hacking-group/58593

  6. Jackie sagt:

    Tja solange man mit echter Arbeit nicht mehr wirklich Geld verdienen kann werden die Menschen eben auch kriminelle Wege suchen um ans Geld zu kommen.

    Ich habe mich in den letzten 20 Jahren immer wieder neu ausgerichtet und zweimal mein Tätigkeitsfeld komplett geändert. Die Zahlen auf der Gehaltsabrechnung sind zwar größer geworden aber dank Inflation, dem Abschaffen der Zinsen und dem Einführen von negativ Zinsen habe ich halt doch weniger als zuvor. Wie hieß es doch mal aus der Politik: Leistung muss sich wieder lohnen. Ich kann aber nur zusehen wie mein Erspartes immer weniger Wert wird obwohl ich mich richtig angestrengt habe. Dank der Pandemie kann ich das Geld nichtmal durch Reisen verbraten und ansonsten gibt es auch nichts materielles das mich bockt. Ich arbeite weil man der Meinung ist ich müsste das tun, Sinn macht es aber nichtmal mehr finanziell für mich. Für die Altersvorsorge werde ich sicher nichts tun, ist schließlich nicht meine Schuld das der Staat ständig mein Geld der Wirtschaft in den Rachen wirft. Moralisch gesehen hätte ich auch überhaupt kein Problem mehr Steuern zuhinterziehen, aber dazu bin ich trotzdem zu sehr Angsthase. Mit der heutigen Jugend möchte ich nicht tauschen denn die haben eigentlich kaum noch eine Zukunft. Die können zusehen wie die Unternhemen und die Politik fürs Wachstum (es geht ja nichtmal mehr um den Gewinn es geht ja sogar nur noch um die Gewinnsteigerung) und den Reichtum einiger weniger den Planeten und die Menschen ausbeuten. Ich habe wenigstens die Aussicht noch eingermaßen bis zum Ende meines Lebens durchzukommen für die Jüngeren sehe ich das nicht mehr!

    • Anderl sagt:

      Ein 16-Jähriger wird sich wohl noch nicht zu viele Gedanken darüber machen, ob er nun zu viel/zu wenig verdient, Normal fängt er da maximal ne Ausbildung an in dem Alter..

      In dem Alter macht man das aus Interesse, oder weil mans kann, zumindest wars bei mir mal ähnlich.

      Allgemein scheint mir der Kommentar etwas übertriebene Schwarzmalerei zu sein.

      • Jackie sagt:

        Nur weil man sich selber nicht in dem Alter dafür interssiert hat sollte man nicht auf andere schließen. Ich habe mich mit 16 auch nicht so sehr für meine Zukunft interessiert und war nur so ein bisschen aktiv. Andere haben das auch schon früher anders gesehen. Heute hat die Jugend auch nicht mehr den Luxus so lange rumgammeln zu können wie ich. Zivildienst gibts nicht mehr und mit G8 muss man schon etwas früher in die Pötte kommen :)

  7. Unknown1966 sagt:

    Selten so einen treffenden Kommentar gelesen! Der könnte glatt von mir sein. Das trifft sowas von den Nagel auf den Kopf und stellt genau meinen Lebenslauf dar! Danke.

Schreibe einen Kommentar zu Jackie Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.