Microsoft
Mardi, l’organisation criminelle nommée LAPSUS$, a publié un fichier contenant une partie du code source de Bing, Bing Maps et Cortana.
Quelques heures plus tard, Microsoft confirmait que du code source, sans plus de précision, lui avait été dérobé, grâce à la compromission du compte d’un de ses employés.
Comme Microsoft ne compte pas sur le secret de son code source comme mesure de sécurité, cette brèche de données ne constituerait pas un risque de sécurité pour ses clients.
LAPSUS$ est une organisation connue de ses équipes de sécurité depuis plusieurs mois,qui la référencent comme DEV-0537.
Elle aurait deux buts : l’extorsion et la destruction. Après avoir principalement sévi en Amérique du Sud et au Royaume-Uni, elle cible de plus en plus les organisations globales. Contrairement aux autres organisations criminelles, elle ne cherche pas à couvrir ses traces.
Elle exploite les réseaux sociaux pour annoncer ses attaques et« recruter » des employés d’entreprises de télécommunications, d’éditeurs de logiciels et de jeux, de grandes multinationales, de centres d’appels et d’hébergement informatique, qui recevront de l’argent contre leur accès à un réseau, à un réseau virtuel privé, ou à un accès distant.
En plus de l’ingénierie sociale, qui lui permet notamment de prendre le contrôle de téléphones et de vider les comptes en banque et les portefeuilles de cryptomonnaies d’organisations comme de particulier, LAPSUS$ exploite les logiciels malveillants pour obtenir des mots de passe.
Une fois un accès obtenu, elle utilise des outils afin d’énumérer tous les groupes et tous les utilisateurs, afin de détecter les comptes avec le plus de privilèges.
Elle cherche alors des informations d’authentification sur les plateformes de collaboration telles que SharePoint, Confluence, les solutions de suivi de problèmes comme JIRA, les entrepôts de code source, tels que GitLab et GitHub, et les canaux de communication tels que Microsoft Teams ou Slack.
LAPSUS$ maîtriserait le nuage et les réseaux virtuels privés en tant qu’outils de piratage. Une fois les données exfiltrées, elle n’hésite pas à saccager les systèmes informatiques de ses victimes, en effaçant leurs données ou leurs machines virtuelles, dans leur enceinte comme dans le nuage.
Okta & CloudFlare
Mardi également, Okta, un prestataire de service d’identification, convient que le compte d’un employé d’un fournisseur tiers, avec des accès privilégiés, a été compromis. Près de 2,5 % de ses clients pourraient être affectés. Ils ont été identifiés et prévenus.
Le billet est confus, puisque quelques paragraphes plus loin, David Bradbury, en charge de la sécurité, affirme que le service Okta n’a pas été piraté et reste entièrement opérationnel.
A son tour, CloudFlare, l’un des principaux clients de Okta, concède que Okta est utilisé pour l’identification de ses employés. Mais pas pour les clients de ses propres services.
CloudFlare affirme que pour obtenir un accès à ses ressources, il ne suffit pas de voler un mot de passe, mais qu’il faudrait modifier le jeton matériel associé à ce même utilisateur.