Új szintre emelte a Lapsus$ csoport a SIM-cserés támadásokat

Jelentést adott ki az Egyesült Államok belbiztonsági minisztériumának kiberbiztonsággal foglalkozó testülete (CSRB) a Lapsus$ csoport által használt technikákról, amiket több tucat szervezet ellen használtak fel sikeresen. A Lapsus$ tevékenységét azután kezdték el alaposabban vizsgálni a biztonsági szakértők tavaly, hogy a csapat incidensek hosszú sorát idézte elő, olyan nagyprofilú vállalatokat megcélozva, mint a Microsoft, a Cisco, a Samsung, az Uber, a Vodafone, a Ubisoft és az Nvidia.

A lazán szerveződő, főleg brit tinédzserekből álló csoport 2021 és 2022 közt volt aktív, tagjai már ismert, alacsony költségű technikákat használták fel kreatívan. Még júliusban írtunk róla, hogy a csoport egyik tagja, a jórészt még fiatalkorúként tevékenykedő, azóta a 18. életévét már betöltött hacker elkerülheti a büntetést a korábbi tevékenysége miatt, mivel pszichés zavarokat állapítottak meg nála, korábban pedig több tinédzsert sikerült előállítania a londoni rendőrségnek a csoporttal összefüggésben.

A Lapsus$ jellemzően alacsony költségű, jól ismert, más szerepelők számára is elérhető technikákat alkalmazott, a kiberinfrastruktúrák gyenge pontjait kihasználva. Az elemzés kiemelt figyelmet szentel a SIM-cserés, azaz SIM-swapping módszernek. A klasszikus SIM-swap alapú visszaélésnél a csalók először megszerzik az áldozatok személyes és banki adatait, akár adathalász, vagy social engineering módszerekkel, majd azok birtokában SIM-cserét kezdeményeznek a szolgáltatónál arra hivatkozva, hogy az eddig használt kártya elveszett vagy már nem használható. Mivel ilyenkor a régi SIM-kártyát szinte azonnal deaktiválják, a bűnözők az új kártyára érkező SMS-kódokkal visszaélve banki tranzakciókat hatjhatnak végre, de a telefonra érkező kétfaktoros hitelesítéshez szükséges kódokat is megszerezhetik, amik a különféle vállalati szolgáltatásokba való bejelentkezéshez, vagy a belsős hálózatokba való bejutáshoz szükségesek.

Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.

A Lapsus$ több alkalommal is SIM-cserével fért hozzá a kiszemelt vállalatok belső hálózatához, hogy bizalmas és érzékeny adatokat, köztük forráskódokat, üzleti dokumentumokat szerezzen. Azonban a csoport esetében a SIM-cserék egy részét közvetlenül a távközlési szolgáltató ügyfélkezelési eszközeiből hajtották végre, miután ott is sikerült eltéríteni alkalmazottak és vállalkozók fiókjait. Annak érdekében, hogy bizalmas információkat szerezzenek áldozatukkal kapcsolatban (név, telefonszám, az ügyfelek saját hálózatára vonatkozó információk), a csoport tagjai néha hamis adatszolgáltatási kérelmeket (EDR) kezdeményeztek.

A csoport emellett a kiszemelt cégeknél dolgozó bennfentesektől szerzett hitelesítési adatokat, vagy végezte el a többtényezős hitelesítési kérelmek jóváhagyását. Egy esetben a Lapsus$ egy távközlési szolgáltatóhoz való jogosulatlan hozzáférését kihasználva próbálta feltörni az FBI-hoz és a védelmi minisztérium személyzetéhez kapcsolódó mobiltelefon-fiókokat, de nem járt sikerrel.

A csoport a Microsoft Active Directory be nem foltozott sebezhetőségeit is kihasználta, hogy több jogosultságot szerezzen az áldozat hálózatán, becslések szerint a támadások akár 60%-ában is kihasználták az Active Directory biztonsági problémáit. Természetesen nem minden támadás volt hatékony, több esetben sikerült érzékelni a célpontoknak a gyanús hálózati tevékenységet, vagy nem volt sikeres a token-alapú többtényezős hitelesítési folyamat.

A jelentés ajánlásokat is tartalmaz az iparág szereplői számára a jövőbeli hasonló esetek elkerülésére, többek közt a jelszó nélküli környezetet, biztonságos identitás- és hozzáférés-kezelési megoldásokkal, valamint a kétfaktoros hitelesítésekhez az SMS-használatának mellőzését. A távközlési szolgáltatóknak kiemelten kell kezelniük a SIM-cserés kezdeményezéseket, szigorúbb személyazonosság-ellenőrzéssel. A szakértők továbbá ajánlják, hogy a szervezetek inkább a FIDO2 szabványnak megfelelő azonosítást, passkey-eket használjanak, amely lehetővé teszi a felhasználók számára, hogy ujjlenyomatuk vagy hardveralapú biztonsági kulcs segítségével jelentkezzenek be fiókjukba.