Een groep aanvallers is erin geslaagd om een deel van de broncode van Microsoft te stelen, zo heeft het techbedrijf in een blogposting bevestigd. De groep wordt Lapsus$ genoemd en wist toegang tot een account van Microsoft te krijgen en zo 37 gigabyte aan broncode buit te maken.
Volgens Microsoft heeft de diefstal van de broncode geen gevolgen voor de veiligheid van producten of gebruikers. "Microsoft vertrouwt niet op de geheimhouding van code als een beveiligingsmaatregel en het bekijken van broncode leidt niet tot een verhoogd risico." Hoe de aanvallers toegang tot het specifieke account wisten te krijgen wordt niet door Microsoft gemeld.
De groep zou op verschillende manieren accounts compromitteren, waaronder het gebruik van de Redline-malware voor het stelen van wachtwoorden en sessietokens, het aanschaffen van gestolen inloggegevens, het betalen van medewerkers van aangevallen organisaties om toegang te verlenen of het doorzoeken van publieke code-repositories om zo inloggegevens te vinden.
Het gaat dan meestal om accounts voor vpn's, rdp-systemen, virtual desktop infrastructure (VDI) zoals Citrix of identiteitsproviders zoals Azure Active Directory en Okta. Zodra er toegang tot een netwerk is verkregen maken de aanvallers gebruik van kwetsbaarheden in intern toegankelijke servers, waaronder Jira, Gitlab en Confluence, om hun rechten te verhogen.
Microsoft is ook bekend met gevallen waarbij de aanvallers de helpdesk van een organisatie belden om zo het wachtwoord van een account met verhoogde rechten te resetten. Het doel van de aanvallers is het stelen van data. Na de diefstal verwijderen de aanvallers gegevens en virtuele systemen en persen de aangevallen organisatie af.
Volgens Microsoft is één van de belangrijkste maatregelen tegen de groep het gebruik van multifactorauthenticatie (MFA). Daarbij moeten zwakke MFA-opties zoals sms en secondaire e-mailadressen worden vermeden.
Deze posting is gelocked. Reageren is niet meer mogelijk.