Sembra che negli ultimi tempi il gruppo di hacker di Lapsus$ si stia dando parecchio da fare, non è la prima volta che ve ne parliamo, dopo aver infatti colpito NVIDIA, rubato ben 190 GB di dati a Samsung, e minacciato velatamente Vodafone, oggi il gruppo torna a far parlare di sé per un attacco condotto ai danni di Microsoft. Il gruppo ha affermato di essere riuscito a violare il colosso di Redmond e, in seguito, ha pubblicato su Telegram un file del peso di 37 GB che pare contenga una parte del codice sorgente di Bing, Bing Maps e Cortana.

Microsoft conferma l’attacco di Lapsus$ ma non fa affidamento sulla segretezza del codice rubato come misura di sicurezza

Ieri sera, tramite un post sul suo blog di sicurezza, Microsoft ha confermato di aver subito il furto di dati dal gruppo che definisce DEV-0537, la società riferisce che sia stato compromesso un solo account aziendale, dal quale gli hacker sono poi riusciti a sottrarre i dati in questione; il colosso afferma inoltre di aver monitorato per settimane l’operato di Lapsus$, con lo scopo di comprendere le metodologie utilizzate dal gruppo per condurre i propri attacchi. Il Microsoft Threat Intelligence Center (MSTIC) afferma che “l’obiettivo degli attori del DEV-0537 è ottenere un accesso elevato tramite credenziali rubate che consentano il furto di dati e attacchi distruttivi contro un’organizzazione mirata, che spesso sfociano in estorsioni. Tattiche e obiettivi indicano che si tratta di un criminale informatico motivato da furto e distruzione“.

L’azienda ci tiene a precisare che quando trafugato, non è abbastanza grave da causare un aumento del rischio, anche considerando che i suoi addetti alla sicurezza sono riusciti a fermare l’attacco mentre era in corso, evitando perdite di dati potenzialmente più dannose; di seguito la dichiarazione della società:

Questa settimana, l’attore ha dichiarato pubblicamente di aver ottenuto l’accesso a Microsoft e di aver esfiltrato porzioni di codice sorgente. Nessun codice cliente o dato è stato coinvolto nelle attività osservate. La nostra indagine ha rilevato che un singolo account è stato compromesso, garantendo un accesso limitato. I nostri team di risposta alla sicurezza informatica si sono rapidamente impegnati per rimediare all’account compromesso e prevenire ulteriori attività.

Microsoft non fa affidamento sulla segretezza del codice come misura di sicurezza e la visualizzazione del codice sorgente non comporta un aumento del rischio. Le tattiche DEV-0537 usate in questa intrusione riflettono le tattiche e le tecniche discusse in questo blog. Il nostro team stava già indagando sull’account compromesso sulla base dell’intelligence sulle minacce quando l’attore ha rivelato pubblicamente la propria intrusione. Questa divulgazione pubblica ha intensificato la nostra azione consentendo al nostro team di intervenire e interrompere l’attore durante l’operazione, limitando un impatto più ampio.

Anche Lapsus$ dal canto suo, riconosce di non essere riuscito a trafugare quanto inizialmente preventivato, riuscendo ad impossessarsi di circa il 45% del codice di Bing e Cortana, e di circa il 90% del codice di Bing Maps che, nonostante sia “meno prezioso” degli altri due, preoccupava comunque Microsoft per l’eventuale scoperta di potenziali vulnerabilità del servizio.

Microsoft infine rassicura che continuerà a monitorare le attività degli hacker di Lapsus$ (anche potenzialmente a danno di clienti dell’azienda) e dà alcuni consigli alle altre organizzazioni per far sì che possano difendersi e tutelarsi; tra queste richiedere l’autenticazione a più fattori (evitando l’utilizzo di mezzi deboli quali messaggi di testo o email secondarie), educare i membri dei propri team alla sicurezza onde evitare potenziali attacchi di ingegneria sociale e, in ultimo, provvedere alla creazione di processi di difesa per rispondere tempestivamente ad eventuali attacchi.