Расследование спецслужб США: хакеры Lapsus$ вывели атаки с подменой СИМ-карт на новый уровень
Совет по обеспечению кибербезопасности США (CSRB) представил отчёт об анализе методов, используемых вымогателями группировки Lapsus$, для взлома организаций, применяющих надёжные меры безопасности. Речь идёт об атаках с подменой СИМ-карт и других вторжениях.
Среди известных компаний, затронутых Laspus$: Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Uber, Vodafone, Ubisoft и Globant. CSRB описывает Laspus$ как подростковую группу, в которой состоят выходцы из Великобритании и Бразилии. Группировка действовала в 2021-2022 годах с целью получения известности, финансовых выгод и развлечений.
Специалисты указывают, что Laspus$ использовала недорогие методы, хорошо известные и доступные другим субъектам угроз, выявляя слабые места в киберинфраструктуре, которые могут быть уязвимы для будущих кибератак.
Группа применяла подмену СИМ-карт, чтобы получить доступ к внутренней сети целевой компании и похитить конфиденциальную информацию, включая исходный код, сведения о запатентованных технологиях или документы, связанные с бизнесом и клиентам.
В ходе атак с подменой СИМ-карт злоумышленники крадут номер телефона жертвы, перенося его на свою СИМ-карту. Для этого преступники прибегают к социальной инженерии и инсайдерской информации, добытой у операторов мобильных сетей пострадавших.
Имея контроль над номером телефона жертвы, злоумышленники имеют возможность получать коды подтверждения по СМС для прохождения двухфакторной аутентификации, чтобы входить в различные корпоративные службы и сети.
В одном случае Lapsus$ использовала несанкционированный доступ к оператору связи, чтобы попытаться скомпрометировать учётные записи мобильных телефонов, связанных с сотрудниками ФБР и Министерства обороны США. Попытка не увенчалась успехом из-за мер дополнительной безопасности этих аккаунтов.
Согласно информации CSRB, группировка платила до $20 тыс. в неделю за доступ к платформе телекоммуникационного провайдера и подмену СИМ-карт. Lapsus$ использовала незакрытые уязвимости в Microsoft Active Directory в 60% своих атак.
Группировка приостановила деятельность с сентября прошлого года, вероятно, из-за расследований, которые привели к аресту нескольких членов Lapsus$. За 2022 год полиция Великобритании арестовала девять человек, связанных с группой. Бразильские правоохранители задержали подозреваемого в причастности к Lapsus$.