Le groupe de piratage Lapsus$, connu pour avoir prétendu avoir piraté Nvidia, Samsung, etc., a affirmé cette semaine avoir même piraté Microsoft. Le groupe a publié un fichier qui, selon lui, contient du code source partiel pour Bing et Cortana dans une archive contenant près de 37 Go de données.
Mardi soir, après enquête, Microsoft a confirmé que le groupe qu’il appelle DEV-0537 avait compromis “un seul compte” et volé des parties du code source de certains de ses produits. Un article de blog sur son site de sécurité indique que les enquêteurs de Microsoft suivent le groupe Lapsus$ depuis des semaines et détaillent certaines des méthodes qu’ils ont utilisées pour compromettre les systèmes des victimes. Selon le Microsoft Threat Intelligence Center (MSTIC), « l’objectif des acteurs DEV-0537 est d’obtenir un accès élevé grâce à des informations d’identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée, entraînant souvent de l’extorsion. Les tactiques et les objectifs indiquent qu’il s’agit d’un acteur cybercriminel motivé par le vol et la destruction.
“Microsoft ne s’appuie pas sur le secret du code comme mesure de sécurité”
Microsoft soutient que le code divulgué n’est pas suffisamment grave pour entraîner une élévation du risque et que ses équipes d’intervention ont arrêté les pirates en cours d’opération.
Lapsus$ a été sur une larme récemment si l’on en croit ses affirmations. Le groupe affirme avoir eu accès aux données d’Okta, Samsung et Ubisoft, ainsi que de Nvidia et maintenant de Microsoft. Alors que des entreprises comme Samsung et Nvidia ont admis que leurs données avaient été volées, Okta a repoussé les affirmations du groupe selon lesquelles il avait accès à son service d’authentification, affirmant que “le service Okta n’a pas été violé et reste pleinement opérationnel”.
Microsoft :
Cette semaine, l’acteur a déclaré publiquement qu’il avait eu accès à Microsoft et exfiltré des portions de code source. Aucun code ou donnée client n’a été impliqué dans les activités observées. Notre enquête a révélé qu’un seul compte avait été compromis, accordant un accès limité. Nos équipes d’intervention en matière de cybersécurité se sont rapidement mobilisées pour remédier au compte compromis et empêcher toute activité ultérieure.
Microsoft ne s’appuie pas sur le secret du code comme mesure de sécurité et l’affichage du code source n’entraîne pas d’augmentation des risques. Les tactiques utilisées par DEV-0537 dans cette intrusion reflètent les tactiques et techniques discutées dans ce blog. Notre équipe enquêtait déjà sur le compte compromis sur la base de renseignements sur les menaces lorsque l’acteur a révélé publiquement son intrusion. Cette divulgation publique a intensifié notre action, permettant à notre équipe d’intervenir et d’interrompre l’acteur en cours d’opération, limitant ainsi un impact plus large.
Ce n’est pas la première fois que Microsoft prétend qu’il suppose que les attaquants accéderont à son code source – il a dit la même chose après l’attaque de Solarwinds. Lapsus$ affirme également qu’il n’a obtenu qu’environ 45 % du code pour Bing et Cortana, et environ 90 % du code pour Bing Maps. Ce dernier semble être une cible moins précieuse que les deux autres, même si Microsoft craignait que son code source ne révèle des vulnérabilités.
Dans son article de blog, Microsoft décrit un certain nombre de mesures que d’autres organisations peuvent prendre pour améliorer leur sécurité, notamment exiger une authentification multifacteur, ne pas utiliser de méthodes d’authentification multifacteur “faibles” comme les SMS ou les e-mails secondaires, informer les membres de l’équipe sur le potentiel d’attaques d’ingénierie sociale. , et la création de processus pour des réponses potentielles aux attaques Lapsus$. Microsoft dit également qu’il continuera à suivre Lapsus $, en gardant un œil sur toutes les attaques qu’il mène contre les clients Microsoft.
