Zephyrnet-logotyp

Uber och Rockstar – har en LAPSUS$-nål precis slagits (igen)?

Datum:

Det nyfikna namnet LAPSUS$ gjord stora rubriker i mars 2022 som smeknamnet för ett hackande gäng, eller, med unyanserade ord, som etiketten för ett ökänt och aktivt kollektiv av cyberkriminella:

Namnet var något ovanligt för ett cyberbrottsteam, som vanligtvis antar soubriqueter som låter kantiga och destruktiva, som t.ex. DEADBOLT, Satan, Darkoch Revil.

Men som vi nämnde i mars, lapse är ett lika bra modernt latinskt ord som något annat för "dataintrång", och det efterföljande dollartecknet betyder både ekonomiskt värde och programmering, eftersom det är det traditionella sättet att beteckna att BASIC-variabeln är en textsträng, inte en siffra.

Angriparnas gäng, team, besättning, posse, kollektiv, gaggle, kalla det vad du vill, av angripare visade uppenbarligen en liknande typ av tvetydighet i sin cyberkriminalitet.

Ibland verkade de visa att de menade allvar med att pressa ut pengar eller lura bort kryptovaluta från sina offer, men vid andra tillfällen verkade de helt enkelt visa upp sig.

Microsoft erkände då att det var så infiltrerade av LAPSUS$, även om mjukvarujätten kallade gruppen DEV-5037, där brottslingarna uppenbarligen stjäl gigabyte med källkod.

Okta, en 2FA-tjänsteleverantör, var ett annat uppmärksammat offer, där hackarna fick RDP-åtkomst till en supportteknikers dator och kunde därför komma åt ett brett utbud av Oktas interna system som om de var inloggade direkt på Oktas eget nätverk .

Den supporttekniken fungerade inte för Okta, utan för ett företag som kontrakterats av Okta, så att angriparna i princip kunde bryta Oktas nätverk utan att bryta mot Okta själv.

Spännande nog, även om Oktas intrång inträffade i januari 2022, varken Okta eller dess entreprenör erkände något offentligt av intrånget på cirka två månader, medan en rättsmedicinsk undersökning tog plats…

…tills LAPSUS$ uppenbarligen bestämde sig för att föregripa alla officiella tillkännagivanden av dumpa skärmdumpar för att "bevisa" intrånget, ironiskt nog samma dag som Okta fick den slutliga kriminaltekniska rapporten från entreprenören (hur, eller om, LAPSUS$ fick förvarning om rapportens leverans är okänt):

Näst på attackdockan var grafikchipsleverantören Nvidia, som uppenbarligen också drabbades av ett datarån, följt av en av konstigaste krav på ransomware-med-en-skillnad registrerat – använd öppen källkod för din grafikdrivrutin, eller så:

Som vi sa i podcasten Naked Security (S3 Ep73):

Normalt är kopplingen mellan kryptovaluta och ransomware skurkfiguren, "Gå och köp lite kryptovaluta och skicka den till oss, så kommer vi att dekryptera alla dina filer och/eller radera din data." […]

Men i det här fallet var kopplingen till kryptovaluta de sa, "Vi kommer att glömma allt om den enorma mängden data vi stal om du öppnar upp dina grafikkort så att de kan kryptominera med full effekt."

För det går tillbaka till en förändring som Nvidia gjorde förra året [2021], som var väldigt populär bland spelare [genom att avskräcka kryptominerare från att köpa upp alla Nvidia GPU:er på marknaden för icke-grafiska ändamål].

En annan sorts cyberbrottsling?

Trots allt som onlineaktiviteterna som tillskrivs LAPSUS$ har varit allvarligt och oförskämt kriminella, verkade gruppens beteende efter exploateringen ofta ganska gammaldags.

Till skillnad från dagens multimiljondollar ransomware-angripare, vars främsta motiv är pengar, pengar och mer pengar, var LAPSUS$ tydligen mer i linje med virusskrivarscenen i slutet av 1980- och 1990-talen, där attacker vanligtvis utfördes enbart för att skryta och "för lulzen”.

(Frasen för lulz översätts ungefär som för att framkalla förolämpande glada skratt, baserat på akronymen LOL, förkortning för "skratta högt".)

Så när polisen i London meddelade, bara två dagar efter att de inte alls så glada skärmdumparna av Okta-attacken dök upp, att den hade arresterad vad som lät som ett brokigt gäng ungdomar i Storbritannien för att de påstås vara medlemmar i en hackergrupp...

…världens IT-media skapade snabbt en koppling till LAPSUS$:

Såvitt vi känner till har brittiska brottsbekämpande myndigheter aldrig använt ordet LAPSUS$ i samband med de misstänkta i gripandet, och noterade i mars 2022 helt enkelt att "Våra förfrågningar pågår fortfarande."

Icke desto mindre kunde man sluta sig till en uppenbar koppling till LAPSUS$ från det faktum att en av ungdomarna som greps sades vara 17 år gammal och komma från Oxfordshire i England.

Fascinerande nog hade en hacker i den åldern som påstås ha bott i en stad strax utanför Oxford, staden som det omgivande länet har fått sitt namn från, blivit utslängd av en missnöjd rival med it-brottslighet inte långt tidigare, i vad som kallas en doxxing.

Doxxing är där en cyberbrottsling släpper stulna personliga dokument och detaljer med avsikt, ofta för att utsätta en individ för att riskera att arresteras av brottsbekämpande myndigheter, eller för att riskera vedergällning av dåligt informerade eller illvilliga motståndare.

Doxxern läckte vad han hävdade var sin rivals hemadress, tillsammans med personliga detaljer och foton på honom och nära familjemedlemmar, samt en massa anklagelser om att han var någon form av fäste i LAPSUS$-besättningen.

LAPUS$ tillbaka i rampljuset

Som du kan föreställa dig, den senaste Uber hacking berättelser återupplivade namnet LAPSUS$, med tanke på att angriparen i det fallet allmänt påstods vara 18 år gammal, och uppenbarligen bara var intresserad av att visa upp:

Som Chester Wisniewski förklarade i en ny podcast minisod:

[I] det här fallet, […] verkar det vara "för lulz". […Den person som gjorde det samlade mestadels in troféer när de studsade genom nätverket – i form av skärmdumpar av alla [de] olika verktyg och verktyg och program som användes runt Uber – och publicerade dem offentligt, antar jag för gatan cred.

Strax efter Uber-hacket läckte nästan en timmes vad som verkade vara videoklipp från det kommande spelet GTA6, uppenbarligen skärmdumpar gjorda för felsöknings- och teständamål, efter ett intrång i Rockstar-spel.

Återigen var samma unge hacker, med samma förmodade koppling till LAPSUS$, inblandad i attacken.

Den här gången, rapporterar föreslå att hackaren hade mer i åtanke än att bara skryta, och påstås ha sagt att de var det "Tänker på att förhandla fram ett avtal."

Så, när City of London Police Tweeted tidigare i veckan som de hade "grep en 17-åring i Oxfordshire misstänkt för hackning".

...du kan föreställa dig vilka slutsatser Twittersfären snabbt nådde.

Det måste vara samma person!

När allt kommer omkring, vad är chansen att vi pratar om två olika och osammanhängande misstänkta här?

Det enda vi inte vet är var LAPSUS$-namnet kommer in i det, om det verkligen är inblandat alls.

O, vilken trasslig väv vi väver/När vi först övar på att lura.


LÄR HUR DU UNDVIKER ATTACKER I LAPSUS$-STILEN

Klicka och dra på ljudvågorna nedan för att hoppa till valfri punkt. Du kan också lyssna direkt på Soundcloud.


plats_img

Senaste intelligens

plats_img