Microsoft conferma la violazione della cybergang LAPSUS$
Uno degli account dei dipendenti della piattaforma sarebbe stato compromesso dal gruppo di hacking Lapsus$, con sottrazione di parti del codice sorgente
23/03/2022 di Martina Maria Mancassola
Microsoft e LAPSUS$: la piattaforma conferma che uno degli account dei suoi dipendenti risulta essere stato violato dal gruppo di hacking Lapsus$. Così gli hacker sono riusciti ad accedere e sottrarre parti del codice sorgente di Microsoft. Il team, dichiara la piattaforma, in realtà stava già indagando sull’account compromesso grazie al sistema di intelligence sulle minacce, quando l’intruso ha dichiarato pubblicamente il proprio attacco. Questa dichiarazione pubblica ha permesso a Microsoft solo di implementare le attività interrompendo tempestivamente «l’attore a metà operazione, limitando un impatto più ampio».
Leggi anche > Microsoft sospende le nuove vendite di prodotti in Russia
Microsoft e LAPSUS$: attaccata la famosa piattaforma per sottrarre parte del suo codice sorgente
Ieri sera, la banda Lapsus$ ha rilasciato 37 GB di codice sorgente sottratto al server Azure DevOps di Microsoft. Il codice sorgente è a supporto di vari progetti Microsoft interni, come Bing, Cortana e Bing Maps. Ma subito interviene Microsoft a rassicurare gli utenti: «nessun codice cliente o dato è stato coinvolto nelle attività osservate. La nostra indagine ha rilevato che un singolo account era stato compromesso, concedendo un accesso limitato. I nostri team di risposta alla sicurezza informatica si sono rapidamente impegnati per correggere l’account compromesso e prevenire ulteriori attività». Così interviene la piattaforma in un comunicato sugli attori delle minacce Lapsus$, aggiungendo che «Microsoft non fa affidamento sulla segretezza del codice come misura di sicurezza e la visualizzazione del codice sorgente non porta ad un aumento del rischio. Le tattiche UTILIZZATE DA DEV-0537 in questa intrusione riflettono le tattiche e le tecniche discusse in questo blog».
Secondo il MSTIC («Microsoft Threat Intelligence Center») «l’obiettivo degli attori del DEV-0537 è ottenere un accesso elevato tramite credenziali rubate che consentano il furto di dati e attacchi distruttivi contro un’organizzazione mirata, che spesso sfociano in estorsioni. Tattiche e obiettivi indicano che si tratta di un criminale informatico motivato nel furto dei dati e nella distruzione degli stessi». Mentre Microsoft rassicura gli utenti sostenendo che il codice sottratto non è «critico» a tal punto da causare un aumento del rischio informatico, Okta – società di gestione di identità e accessi quotata in borsa – sostiene che «il servizio Okta non è stato violato e rimane pienamente operativo». In realtà, secondo alcuni, molti clienti di Okta Inc sono stati, con probabilità, colpiti dalla violazione di security causata da Lapsus$. Infatti, la stessa Okta ieri apprendeva dai suoi clienti che alcuni loro dati sono finiti nel canale Telegram del gruppo di hacker Lapsus$. Dopo tutto questo, le azioni Okta sono scese del 9% dopo l’apertura del mercato.
Microsoft è già stato attaccato in passato; infatti, alcuni hacker sono riusciti ad accedere al codice sorgente di Microsoft come ad esempio durante l’attacco Solarwinds. Lapsus$ afferma, tra l’altro, di essere riuscito ad ottenere solo circa il 45% del codice per Bing e Cortana e circa il 90% del codice per Bing Maps. Quest’ultimo pare essere un obiettivo meno accattivante degli altri due, sebbene Microsoft abbia temuto che il suo codice sorgente mostrasse agli attaccanti delle nuove vulnerabilità sfruttabili. Nel suo blog, Microsoft interviene per fornire ad altre organizzazioni misure che possono adottare per implementare la sicurezza online, tra cui richiedere l’autenticazione a più fattori, non servirsi di metodi di autenticazione a più fattori «deboli» come sms o e-mail secondarie, formare il proprio personale sulle potenzialità degli attacchi cyber, nonché creare processi per possibili risposte agli attacchi di Lapsus$. Ovviamente, la piattaforma ha dichiarato di tenere monitorata l’attività di Lapsus$, per prevenire e bloccare gli eventuali attacchi che intenderà sferrare ai clienti Microsoft.
Foto IPP/MIPA