[ Tráfego 4/Out a 2/Nov: 341.857 page views - 134.359 usuários ] - [ Newsletter 5.481 assinantes Open rate 28%]

Lapsus$ vaza material atribuído a Microsoft, Okta e LG

Paulo Brito
22/03/2022

Atualizado às 13h30 com informações da Check Point
Atualizado às 09h51 com informações da Okta

No final da noite, o grupo de cibercrime Lapsus$ fez três publicações em seu canal do Telegram, todas em inglês, identificando os materiais de cada uma como sendo respectivamente da LG, da Microsoft e da Okta. A Okta produz soluções de segurança para gerenciamento de acesso e tem entre seus clientes organizações como T-Mobile e a agência FCC, do governo americano, entre seus 15.000 clientes.O grupo fez as seguintes descrições dos materiais:

  1. “Todos os hashes das contas de funcionários e serviços da LGE.com – a segunda vez que os hackeamos em ~ 1 ano (…)”
  2. “Vazamento de alguns códigos-fonte do Bing, Bing Maps e Cortana – o despejo dos mapas do Bing está 90% completo. Bing e Cortana em torno de 45%”
  3. “Apenas algumas fotos do nosso acesso à Okta.com – Superuser/Admin e vários outros sistemas”.

Veja isso
US$ 6,5 bilhões é o preço pago pela Okta na compra da Auth0
LG entra em cyber com aquisição da Cybellum

Os dois primeiros posts no Telegram foram feitos às 22h17 e o terceiro aos 9 minutos de hoje e contêm também ameaças e ironias feitas pelo grupo: naquele referente à LG é dito “que o despejo da confluência de infraestrutura da empresa será publicado em breve” e que “pode ser uma boa ideia considerar um novo time de CSIRT”. Já no da Okta, o mais longo, é dito “Para um serviço que fornece sistemas de autenticação para muitas das maiores corporações (e aprovado pela FEDRAMP), acho que essas medidas de segurança são muito ruins.
(sim, sabemos que o URL tem um endereço de e-mail. a conta está suspensa – não nos importamos)
ANTES QUE AS PESSOAS COMECEM A PERGUNTAR: NÃO ACESSAMOS/ROUBAMOS NENHUM BANCO DE DADOS DA OKTA – nosso foco era SOMENTE em clientes Okta”.

Os materiais despejados são os seguintes:

  • Um arquivo de texto chamado LGE-Hashes.txt, com 8,3 Mb, pronto para download, associado ao nome da LG;
  • Um arquivo torrent chamado MS.7z.torrent, de 483 kb, associado ao nome da Microsoft, acompanhado de um endereço no GitHub onde há 20 outros links supostamente destinados a acelerar o download – o arquivo a ser baixado tem 9,3 Gb;
  • Imagens de oito telas obtidas durante a navegação, supostamente em ambiente da empresa, associadas ao nome da Okta. Aparentemente o acesso a esse ambiente existe desde 21 Janeiro de 2022, data que aparece impressa nas telas.

A Okta informou em comunicado público que está investigando as alegações do Lapsus de acesso a seus sistemas de back-end por meses, potencialmente permitindo que ele visasse uma série de grandes empresas. A Microsoft também havia informado ontem que está investigando o alegado acesso a seu back-end. O usuário de Twitter @_MG_ afirmou que observando as telas da Okta dá a impressão de que os cibercriminosos tiveram acesso aos ambientes JIRA e Slack, e que algumas das telas parecem indicar acesso como Super Usuário, capaz de acessar e modificar contas de clientes.

O CEO da Okta, Todd McKinnon, disse no Twitter que “no final de janeiro de 2022 a Okta detectou uma tentativa de comprometer a conta de um engenheiro de suporte terceirizado (…) O assunto foi investigado e contido pelo terceiro (…) Acreditamos que as capturas de tela compartilhadas online estejam conectadas a este evento de janeiro. Com base em nossa investigação até o momento, não há evidências de atividade maliciosa em andamento além da atividade detectada em janeiro”. Em resposta a McKinnon, o usuário @HousseiN98D (Hussein Portanto) escreveu: “Meus amigos e eu relatamos várias vulnerabilidades altas/críticas para você usando seu programa de recompensas por bugs. ”””Fomos mal pagos e tratados como m… por sua equipe de segurança, agindo como se eles soubessem de tudo. Espero que esta desventura o esclareça sobre a importância dos BONS hackers”.

Segundo Lotem Finkelsteen, líder de Threat Intelligence da Check Point Software, “o Lapsus$ é um ator de ameaças sul-americano (…) Se for verdadeira, a violação na Okta pode explicar como o Lapsus$ conseguiu alcançar seus sucessos recentes. Milhares de empresas usam a Okta para proteger e gerenciar suas identidades. Por meio de chaves privadas obtidas na Okta, a gangue pode ter acesso a redes e aplicativos corporativos. Portanto, uma violação na Okta pode levar a consequências potencialmente desastrosas”. Finkelsteen recomenda que todos os clientes da Okta exerçam “extrema vigilância e práticas de segurança cibernética”.

Compartilhar: