7 Teenager im Zusammenhang mit den LAPSUS$-Hacks verhaftet

Sicherheit (Pexels, allgemeine Nutzung)[English]Vor einigen Stunden hatte ich ja im Artikel Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe? berichtet, dass Sicherheitsforscher glauben, den Mastermind der LAPSUS$-Gang enttarnt zu haben. Nun wurde bekannt, dass die britische Polizei sieben Teenager im Zusammenhang mit den Aktivitäten der LAPSUS$-Gang festgenommen hat. Ergänzung: Weitere Informationen von Palo Alto Networks nachgetragen.


Anzeige

Die Lapsus$-Gruppe macht ja erst seit Anfang 2022 durch spektakuläre Hacks Furore (erstmals in Erscheinung getreten ist die Gruppe im Herbst 2021). Nvidia, Samsung, Microsoft, Okta sind Namen von Firmen, die in diesem Zusammenhang als Opfer von Hacks auftauchen. Hier einige Info-Splitter dazu:

  •  Okta ist ein Anbieter von Authentifizierungsdiensten in der Cloud, der von der Lapsus$-Gruppe gehackt wurde und dann einige Folgeschäden nach sich zog.
  • Mitte Februar 2022 musste Nvidia einen Hack seiner IT-Infrastruktur eingestehen. Debei wurden nicht nur die (Anmelde-)Daten von 71.000 Mitarbeitern durch die Hacker sondern auch Zertifikate gestohlen.
  • Im März 2022 war Ubisoft mit einem Hack dran, der Hersteller hat diesen Cyberangriff inzwischen bestätigt und die Cyber-Gang Lapsus$ hat die Verantwortung für den Cyberangriff übernommen.
  • Dann gab es im März 2023 ebenfalls die Meldung, dass die Hackergruppe Lapsuss$ die Repositories mit den Quellcodes der Microsoft-Produkte Azure, Bing, Bing Maps und Cortana gehackt und Quellcode abgezogen zu habe.

Über die Hacks der Lapsus$-Gruppe hatte ich die letzten Tage ja mehrfach berichtet – siehe auch die Links am Artikelende. Microsoft erklärt in diesem Artikel recht länglich, wie die Lapsus$-Angreifer (dort DEV-0537 genannt) beim Hack von Firmen und Organisationen vorgehen.

Vier Sicherheitsforscher haben im Auftrag der angegriffenen Unternehmen eine Reihe von Angriffen der Hackergruppe Lapsus$ auf Technologieunternehmen, darunter Microsoft Corp. und Nvidia Corp., untersucht. Die Cyberforscher haben forensische Beweise aus den Hacks sowie öffentlich verfügbare Informationen verwendet, um die Urheber herauszufinden und zu benennen.

Dabei kristallisierte sich wohl heraus, dass da keine ausgebufften Cyber-Kriminellen mit staatlicher Unterstützung tätig sind. Vielmehr nutzten Teenager clever die Schwachstellen der Unternehmen über Social Engineering aus. Über die Details hatte ich im Artikel Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe? berichtet.


Anzeige

Verhaftungen in Großbritannien

Die BBC berichtet in diesem Artikel, auf den ich über nachfolgenden Tweet aufmerksam wurde, dass sieben Teenager im Zusammenhang mit den Aktivitäten der LAPSUS$-Gang verhaftet worden seien.

7 Teenagers arrested in connection to LAPSUS$

Darunter befindet sich wohl der mittlerweile 17 Jahre alte Teenager, der in der Nähe von Oxford wohnt und als Mastermind der LAPSUS$-Gang angesehen wird. Der Teenager, der durch Hacken 14 Millionen Dollar (10,6 Millionen Euro) erbeutet haben soll, wurde von rivalisierenden Hackern und Sicherheitsforschern enttarnt.

Unter seinem Online-Namen "White" oder "Breachbase" soll der Jugendliche, der an Autismus leidet, Mitglieder der Hackergruppe Lapsus$, die auch Mitglieder in Südamerika zu haben scheint, sein. Die Polizei der Stadt London hat nach eigenen Angaben sieben Teenager im Zusammenhang mit der LAPSUS$-Gang verhaftet, will aber nicht sagen, ob White einer der Verhafteten ist. Dazu heißt es von der Polizei:

Sieben Personen im Alter zwischen 16 und 21 Jahren wurden im Zusammenhang mit den Ermittlungen gegen eine Hackergruppe festgenommen. Sie wurden alle im Rahmen der Ermittlungen wieder freigelassen. Unsere Ermittlungen dauern noch an.

Der Teenager, dessen Name aus rechtlichen Gründen von der BBC nicht genannt werden kann, besucht laut obigem Artikel eine Sonderschule in Oxford. Die Mutter des Jugendlichen, die von Reportern kontaktiert wurde, will von den Aktivitäten nichts mitbekommen haben. Der Vater des Jungen, der meinen Informationen nach getrennt von der Mutter lebt, sagte der BBC: "Ich hatte bis vor kurzem noch nie etwas davon gehört. Er hat nie über das Hacken gesprochen, aber er kennt sich sehr gut mit Computern aus und verbringt viel Zeit am Computer. Ich dachte immer, er würde Spiele spielen.

Kann aber auch eine Schutzbehauptung sein, denn auf einer Doxing-Seite heißt es, dass dem Vater in Gesprächen bewusst gewesen sein muss, dass der Sohn ein Hacker ist. Jetzt will der Vater versuchen, den Jungen vom Computer fernzuhalten. Nach meinen Informationen war die Polizei der Gruppe aber schon länger auf der Spur und reagierte möglicherweise jetzt auf die Veröffentlichung der Informationen über den Hacker.

Erkenntnisse von Palo Alto Networks

Ergänzung: Ich habe von Palo Alto Networks noch einige Informationen erhalten, die das Bild zur LAPSUS$-Gang abrunden. Deren Sicherheitsforscher sind erstaunt, dass dieser Bedrohungsakteur sich in nur wenigen Monaten von einer Handvoll zerstörerischer Angriffe zum Stehlen und Veröffentlichen von Quellcode mehrerer führender Technologieunternehmen entwickelt hat.

Keine Ransomware-Gruppe

Interessant finde ich, die Einstufung der Gruppe, hatte ich doch Hinweise gelesen, dass auch Ransomware eingesetzt worden sei. Palo Alto Networks, schreibt dazu, dass Lapsus$ in Berichten manchmal als Ransomware-Gruppe bezeichnet werde, die Gang sich es sich dadurch auszeichnet, dass sie bei Erpressungsversuchen keine Ransomware einsetzt.

In der heutigen Umgebung würden Bedrohungsakteure die Verwendung von Ransomware bevorzugen, um Daten und Systeme zu verschlüsseln, und erpressen Opfer oft für erhebliche Mengen an Kryptowährung im Austausch für Entschlüsselungsschlüssel, wobei sie manchmal den Druck erhöhen, indem sie mit der Veröffentlichung gestohlener Daten drohen. Lapsus$ sei jedoch in seiner Herangehensweise ungewöhnlich – für diese Gruppe scheint eher Bekanntheit als finanzieller Gewinn das Ziel zu sein.

Social Engineering als Hebel

Unit 42 hat Organisationen dabei geholfen, auf mehrere Lapsus$-Angriffe zu reagieren. Die Lapsus$-Gruppe setzt, so Palo Alto Networks. keine Malware in Opferumgebungen ein, verschlüsselt keine Daten und wendet in den meisten Fällen keine Erpressung an. Sie konzentrieren sich auf die Verwendung einer Kombination aus gestohlenen Zugangsdaten und Social Engineering, um Zugang zu den Opfern zu erhalten. Die Sicherheitsforscher haben auch gesehen, wie sie Mitarbeiter auf Telegram um ihre Anmeldeinformationen bei bestimmten Unternehmen in Branchen gebeten haben, darunter: Telekommunikation, Software, Spiele, Hosting-Anbieter und Callcenter. Das war aber bisher alles bekannt.

Schäden können hoch sein

Die Angriffe der Gruppe und das Veröffentlichen gestohlener Daten können jedoch auch ohne Erpressung sehr schädlich sein. Darüber hinaus haben die Sicherheitsforscher und Forensiker destruktive Lapsus$-Angriffe gesehen, bei denen die Akteure Zugriff auf die Cloud-Umgebung eines Unternehmens erhielten, Systeme löschten und über tausend virtuelle Maschinen zerstörten.

Zusammenfassung der Unit 42-Erkenntnisse

Es gibt keine öffentlichen Indikatoren für Kompromittierung (IoCs) und keine Taktiken, Techniken und Verfahren (TTPs), die nur bei der Lapsus$-Gang genutzt werden. Die Sicherheitsforscher haben aber eine Zusammenfassung erstellt, was über diesen Bedrohungsakteur bekannt ist, um es den Verteidigern zu ermöglichen. Ziel soll es sein, Angriffe besser zu verstehen und die Bedrohung (durch ähnliche Angriffe) abzuschwächen. Zu den jüngsten öffentlich bekannten Opfern gehörten:

  • NVIDIA
  • Samsung
  • Ubisoft
  • Vodafone
  • Microsoft
  • LG
  • Okta

Allerdings gibt es zusätzlich weitere (vermutlich viele weitere ) Opfer, die Ziel von Angriffen waren, was aber in der Öffentlichkeit nicht bekannt wurde. Den Angriff vom Dezember 2021 auf das Ministerium für Gesundheit in Brasilien wurde hier im Blog und auch in den Medien nicht so breit diskutiert. Auch den Angriff auf das portugiesische Medienunternehmen Impresa hatte ich hier im Blog nicht angesprochen – es gibt täglich einfach zu viele Hacks, Schwachstellen und Ransomware-Fälle. Die Sicherheitsforscher beobachteten Lapsus$ erstmals Mitte 2021, die erste Angriffsaktivität unter diesem Namen fand im August 2021 statt, als einige britische Mobilfunkkunden berichteten, Drohungen erhalten zu haben.

Es ist wahrscheinlich, dass einige Opfer nicht das beabsichtigte Endziel sind, sondern eher verletzt werden, um Zugang zu ihren Kunden zu erhalten oder beispielsweise dabei zu helfen, die Multi-Faktor-Authentifizierung (MFA) zu umgehen.  Die Unit 42 hat in dieser Hinsicht die Beteiligung dieses Akteurs an Vishing, SIM-Swapping und der Anwerbung Dritter bei Anbietern für Insider-Zugang beobachtet. Der Einbruch beim Authentifizierungsdienst Okta wird als Beweis für diese Theorie herangezogen, denn der Bedrohungsakteur aht auf dem Telegram-Kanal der Lapsus$-Gruppe erklärt: "… unser Fokus lag NUR auf Okta-Kunden."

Die wichtigste Erkenntnis: Da die Gruppe eine Vielzahl von Techniken für Angriffe verwendet, kann keine einzelne Technik vor Lapsus$ schützen oder seine Angriffe erkennen. Aus diesem Grund empfehlen die Sicherheitsforscher Unternehmen, sich darauf zu konzentrieren, allgemeine Best Practices für die Informationssicherheit zu befolgen. Und da scheint einiges im Argen zu liegen, wenn man sieht, dass einige Teenager mit finanziellen Verlockungen und Tricks in die IT-Systeme bekannter Unternehmen wie Microsoft oder den Authentifizierungsdienst Okto einbrechen konnten.

Unit 42 identifizierte zusammen mit Forschern von Unit 221b den Hauptakteur hinter dem Spitznamen Lapsus$ Group im Jahr 2021 und unterstützte die Strafverfolgungsbehörden bei ihren Bemühungen, diese Gruppe strafrechtlich zu verfolgen. Die Zusammenfassung in Englisch, angereichert mit vielen Screenshots der Gruppe, wurde von Palo Alto Networks in diesem Artikel veröffentlicht.

Persönlich finde ich es erstaunlich, wie letztendlich Jugendliche mit einer gewissen Chuzpe und zusätzlich Pertinenz die Sicherheitssysteme von Weltformen über einfaches Social Engineering oder gekaufte Zugangsdaten überlisten können. Letztendlich wurden die Sicherheitsbranche und die gehackten Firmen ziemlich vorgeführt. Das ist kein gutes Zeichen, wie es um unsere Sicherheit bestellt ist.

Ähnliche Artikel:
Nvidia-Hack: Daten und Source-Code offen gelegt, Zertifikate gestohlen
Ubisoft durch Lapsus$-Cyber-Gang gehackt (März 2022)
Samsung bestätigt Hack, Quellcodes durch Lapsus$ geleakt
Authentifizierungsdienst OKTA durch Lapsus$ gehackt?
Lapsus$ veröffentlicht angeblich Quellcode von Microsoft Azure, Bing und Cortana
Lapsus$-Hacks: Stellungnahmen von Okta und Microsoft
Stecken Kids aus England und Brasilien hinter der Lapsus$-Hacker-Gruppe?


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.