Lapsus$ hack grubu, Microsoft’un dahili Azure DevOps sunucusundan çalınan Bing, Cortana ve diğer projelerin kaynak kodunu sızdırdığını iddia ediyor.
Pazar sabahı erken saatlerde, Lapsus$ çetesi Telegram kanallarına Microsoft’un Bing, Cortana ve diğer çeşitli dahili projeler için kaynak kodu içeren Azure DevOps sunucusunu hacklediklerini belirten bir ekran görüntüsü yayınladı.
Pazartesi gecesi, bilgisayar korsanlığı grubu, Microsoft’a ait olduğunu söyledikleri 250’den fazla projenin kaynak kodunu içeren 9 GB’lık 7zip arşivi için bir torrent yayınladı.
Torrent’i gönderirken Lapsus$, Bing için kaynak kodunun %90’ını ve Bing Haritalar ve Cortana için kodun yaklaşık %45’ini içerdiğini söyledi.
Kaynak kodun sadece bir kısmının sızdırıldığını söylemelerine rağmen, BleepingComputer’a sıkıştırılmamış arşivin Microsoft’a ait olduğu iddia edilen yaklaşık 37GB kaynak kodu içerdiği söyleniyor.
Sızan dosyaları inceleyen güvenlik araştırmacıları, BleepingComputer’a bunların Microsoft’un meşru dahili kaynak kodu gibi göründüğünü söyledi.
Ayrıca, sızdırılan projelerden bazılarının, Microsoft mühendisleri tarafından mobil uygulamaları yayınlamak için dahili olarak açıkça kullanılan e-postalar ve belgeler içerdiği söylendi.
Projeler, Windows, Windows Server ve Microsoft Office dahil olmak üzere piyasaya sürülen Microsoft masaüstü yazılımı için kaynak kodu içermeyen web tabanlı altyapı, web siteleri veya mobil uygulamalar için görünüyor.
Bu geceki kaynak kodu sızıntısı hakkında Microsoft ile iletişime geçtiğimizde, BleepingComputer’a iddialardan haberdar olduklarını ve araştırdıklarını söylemeye devam ettiler.
Lapsus$ verileri sola ve sağa sızdırıyor
Lapsus$, kaynak kodunu, müşteri listelerini, veritabanlarını ve diğer değerli verileri çalmak için kurumsal sistemleri tehlikeye atan bir veri hırsızlığı grubudur. Daha sonra, verileri sızdırmak için değil, fidye talepleriyle kurbanı gasp etmeye çalışırlar.
Geçtiğimiz birkaç ay içinde Lapsus$, büyük şirketlere karşı çok sayıda siber saldırı ifşa etti. NVIDIA, Samsung, vodafone, Ubisoftve Serbest pazar.
Şimdiye kadar saldırıların çoğu, kaynak kodu depolarını hedef alarak, tehdit aktörlerinin NVIDIA’nın grafik kartlarının GPU’nun madencilik kapasitesini azaltmasına olanak sağlayan lite hash rate (LHR) teknolojisi gibi hassas, özel verileri çalmasına izin verdi.
Tehdit aktörlerinin bu depoları nasıl ihlal ettiği bilinmiyor, ancak bazı güvenlik araştırmacıları, erişim için şirket içindekilere ödeme yaptıklarına inanıyor.
Tehdit istihbarat analisti “Benim bakış açıma göre, şirket içindekileri kullanarak erişimlerini sağlamaya devam ediyorlar” Tom Malka BleepingComputer’a söyledi.
Lapsus$ daha önce çalışanlardan ağlara erişim satın almaya istekli olduklarını açıkladığı için bu teori çok zorlama değil.
Ancak, Lapsus$, Okta’nın dahili web siteleri olduğunu iddia ettikleri sitelere erişimlerinin ekran görüntülerini yayınladığı için, bundan daha fazlası olabilir. Okta bir kimlik doğrulama ve kimlik yönetimi platformu olduğundan, Lapsus$ şirketi başarıyla ihlal ederse, bunu potansiyel olarak şirketin müşterileri için bir sıçrama tahtası olarak kullanabilirler.
Lapsus$’a gelince, ana kanallarında 33.000’den fazla ve sohbet kanallarında 8.000’den fazla aboneyle Telegram’da büyük bir takipçi kitlesi kazandılar.
Gasp grubu, yeni sızıntıları, saldırıları duyurmak ve hayranlarıyla sohbet etmek için çok aktif Telegram kanallarını kullanıyor ve bu kötü şöhretten keyif alıyor gibi görünüyorlar.
İle RaidForums veri ihlali forumu kapatıldımuhtemelen o sitedeki müdavimlerinin birçoğunun artık Lapsus$’ın Telegram kanallarında birlikte etkileşime girdiğini görüyoruz.
Şimdilik, Lapsus$ ve hayranları veri sızıntılarını kutlarken muhtemelen daha fazla ihlalin geldiğini göreceğiz.