Nhóm hack Lapsus$, vốn đứng sau các vụ hack vào NVIDIA và Samsung, mới đây lên tiếng tuyên bố rằng mình đã hack được vào cả Microsoft. Nhóm này đăng tải một file mà họ tuyên bố chứa một phần mã nguồn cho Bing và Cortana trong một kho lưu trữ gần 37GB dữ liệu.
Tối hôm thứ 3, sau khi điều tra, Microsoft đã xác nhận rằng nhóm DEV-0537 (tên công ty tự gọi) bị xâm phạm “một tài khoản duy nhất” và đánh cắp các mã nguồn một số sản phẩm của họ. Một bài đăng trên trang web bảo mật cho biết, các nhà điều tra Microsoft đã theo dõi nhóm Lapsus$ trong nhiều tuần và nêu chi tiết một số phương pháp họ đã sử dụng để xâm nhập hệ thống của nạn nhân. Theo Trung tâm Tình báo Đe dọa của Microsoft (MSTIC), “mục tiêu của các tác nhân DEV-0537 là có được quyền truy cập cao hơn thông qua các thông tin xác thực bị đánh cắp, cho phép đánh cắp dữ liệu và những cuộc tấn công phá hoại chống lại một tổ chức được nhắm mục tiêu, thường có kết quả cuối cùng là tống tiền. Các chiến thuật và mục tiêu chỉ ra rằng đây là một kẻ tội phạm mạng có ý đồ trộm cắp và phá hoại.” Microsoft khẳng định rằng mã bị rò rỉ không đủ nghiêm trọng để gây ra rủi ro lớn và các nhóm phản ứng của họ đã ngăn chặn các tin tặc trong giữa quá trình xâm nhập.
Gần đây, Lapsus$ tuyên bố đã xâm nhập vào nhiều dữ liệu của các công ty công nghệ lớn. Nhóm này cho biết, họ đã có quyền truy cập vào dữ liệu của Okta, Samsung, Ubisoft, NVIDIA và mới đây là Microsoft. Dẫu những công ty như Samsung và NVIDIA thừa nhận dữ liệu của họ đã bị đánh cắp, nhưng Okta lại bác bỏ tuyên bố đã có quyền truy cập vào dịch vụ xác thực từ nhóm tin tặc này, đồng thời khẳng định rằng “Dịch vụ Okta không bị xâm phạm và vẫn hoạt động đầy đủ.” Microsoft cho biết: “Trong tuần nay, kẻ xấu đã tuyên bố công khai rằng họ đã đã giành được quyền truy cập vào Microsoft và lấy cắp các phần của mã nguồn. Không có mã khách hàng hoặc dữ liệu nào liên quan đến các hoạt động được quan sát. Cuộc điều tra đã phát hiện ra một tài khoản duy nhất bị xâm phạm, với mức độ hạn chế truy cập. Các nhóm phản ứng an ninh mạng của chúng tôi đã nhanh chóng tham gia để khắc phục ngay tài khoản này và ngăn chặn hoạt động tiếp theo. Microsoft không dựa vào tính bí mật của mã như một biện pháp bảo mật và việc xem mã nguồn không khiến rủi ro tăng lên. Các chiến thuật mà DEV-0537 sử dụng trong cuộc xâm nhập này phản ánh những chiến thuật và kỳ thuật được thảo luận trong blog này. Nhóm của chúng tôi đã điều tra tài khoản bị xâm nhập dựa trên thông tin tình báo về mối đe dọa khi những kẻ xấu này công khai sự xâm nhập của họ. Việc tiết lộ công khai này đã buộc chúng tôi hành động, cụ thể là cho phép đội ngũ của chúng tôi can thiệp và làm gián đoạn quá trình hoạt động giữa chừng của kẻ xấu, hạn chế tác động trên diện rộng.”
Tuyên bố của Lapsus$ về những mã nguồn đã lấy được từ Microsoft Đây không phải là lần đầu Microsoft tuyên bố đã ngăn chặn những kẻ tấn công truy cập vào mã nguồn của mình. Công ty đã nói điều tương tự sau cuộc tấn công Solarwinds. Lapsus$ cũng tuyến bố rằng họ chỉ có khoảng 45% mã nguồn của Bing và Cortana, cùng khoảng 90% mã nguồn Bing Maps. Thực tế, Bing Maps dường như là một mục tiêu kém giá trị hơn so với 2 cái tên còn lại, ngay cả khi Microsoft lo lắng việc những mã nguồn đó có thể tiết lộ các lỗ hổng bảo mật. Trong bài đăng trên blog của mình, Microsoft đã nêu một số bước mà các tổ chức khác có thể thực hiện để cải thiện bảo mật, bao gồm yêu cầu xác thực đa yếu tố, không sử dụng các phương pháp xác thực đa yếu tố “yếu” như tin nhắn văn bản hay email phụ, hướng dẫn các thành viên trong nhóm về khả năng xảy ra các cuộc tấn công kỹ thuật xã hội và tạo các quy trình phản ứng có thể đối với các cuộc tấn công từ Lapsus$. Microsoft cũng xác nhận sẽ tiếp tục theo dõi Lapsus$, theo dõi bất kỳ cuộc tấn công nào mà nhóm này thực hiện nhắm vào khách hàng hãng. Nguồn: The Verge
