微软回应被黑客攻击:问题不大

时间:2023-12-26 16:54:24
微软回应被黑客攻击:问题不大

微软回应被黑客攻击:问题不大

微软回应被黑客攻击:问题不大,微软表示,他们正在调查Lapsus数据勒索黑客组织入侵其内部Azure DevOps源代码库并窃取数据的指控。微软回应被黑客攻击:问题不大。

  微软回应被黑客攻击:问题不大1

据凤凰网科技消息,微软公司在周二晚间证实,经过调查后发现,一些公司产品的部分源代码被黑客盗取。

黑客组织Lapsus$声称曾入侵过英伟达、三星等公司,本周又表示入侵了微软。Lapsus$发布了一份文件,称其中一个容量近37GB的数据存档中包含了必应和语音助手“小娜”(Cortana)的部分源代码。

微软将Lapsus$称之为DEV-0537,表示它入侵了“一个单一账户”,并窃取了部分产品的源代码。微软安全网站上的一篇博文称,微软调查人员已经跟踪Lapsus$组织有数周时间,并详细介绍了他们用来破坏受害者系统的一些方法。微软坚称,泄露的代码还没有严重到导致风险上升的程度,其响应团队在应对过程中将黑客拒之门外。

早些时候,Lapsus$团伙在他们的Telegram频道上发布了一张截图,表示他们入侵了微软Azure DevOps服务器,其中包含Bing、Cortana和其他各种内部项目的源代码。

周一晚上,这个黑客组织发布了一份9gb 7zip压缩包的种子文件,其中包含了他们声称属于微软的250多个项目的源代码。相关关人士称,这个未压缩的存档文件大约有37GB。

Lapsus$说它包含了90%的Bing源代码,大约45%的Bing Maps和Cortana代码。

Lapsus$是一个数据勒索黑客组织,他们不会在受害者的设备上安装勒索软件。但是他们通过破坏公司系统,窃取源代码、客户名单、数据库和其他有价值的数据。然后,他们试图以赎金勒索受害者,要求不公开泄露数据。

在过去的几个月里,Lapsus$已经披露了大量针对大公司的网络攻击,其中包括已证实的针对英伟达、三星、沃达丰(Vodafone)、知名游戏厂商育碧(Ubisoft)和在线商务平台Mercado Libre的网络攻击。

与此同时,不久前,黑客组织Lapsus$在其Telegram频道上发布了自称是Okta内部系统的截图,其中一张似乎显示了Okta的Slack频道。Okta 是一家为数千家公司和组织提供双重身份验证的公司,包括 JetBlue、Nordstrom、Siemens、Slack 和 Teach for America。如果确实攻击成功,将对依赖Okta来验证用户访问内部系统的公司、大学和政府机构产生重大影响。

目前还不清楚威胁行为者是如何侵入这些存储库的,但一些安全研究人员认为,他们付钱给企业内部人士以获取访问权限。

微软表示,他们正在调查Lapsus数据勒索黑客组织入侵其内部Azure DevOps源代码库并窃取数据的指控。

虽然源代码泄露让公司软件漏洞更容易被发现,但微软之前曾表示,源代码泄露并不会增加风险。

微软表示,他们的威胁模型假设,无论是通过逆向工程还是之前的源代码泄漏,威胁参与者已经了解了他们的软件是如何工作的。

“在微软,我们有一种内部源代码的方法——使用开源软件开发的最佳实践和一种类似开源的文化——使源代码在微软内部可见。这意味着我们不依赖于源代码的保密来保证产品的安全,我们的威胁模型假设攻击者了解源代码,”微软在一篇博客文章中解释说,SolarWinds的攻击者获取了他们的源代码。

“因此,查看源代码并不会增加风险。”

即使是这样,也不意味着源代码中没有其他有价值的数据。源代码存储库通常还包含访问令牌、凭证、API密钥,甚至代码签名证书等。

全球网络攻击行为的确在增加,日益泛滥的黑客入侵已成为全球信息安全的重要挑战,如何有效保护企业的信息安全成为安全公司以及企业要思考的问题之一。

  微软回应被黑客攻击:问题不大2

微软公司在周二晚间证实,经过调查后发现,一些公司产品的部分源代码被黑客盗取。

周一晚上由“Lapsus$”黑客组织发布,一个 9GB 的压缩包可供外接下载。据说此压缩包中有微软公司 250 多个内部项目。其中含有 90% 的 Bing 源代码以及大约 45% 的 Bing Maps 和 Cortana 源代码。

据称,这些数据来自微软的 Azure DevOps 服务器。

周日清晨,Lapsus$ 在其 Telegram 频道上发布了一张屏幕截图,显示他们已闯入了微软的 Azure DevOps 服务器,该服务器含有 Bing、Cortana 及其他众多内部项目的源代码。

安全研究人员称,未压缩的 37 GB 集合似乎确实是微软公司的源代码。一些项目还包括供微软工程师发布应用的电子邮件和文档。这些项目面向基于 Web 的基础设施、网站或移动应用程序,没有微软桌面软件(包括 Windows、Windows Server 和 Microsoft Office)的源代码。

微软表示,它知道该组织的行为,并正在积极调查所谓的入侵和泄密。

微软将 Lapsus$ 称之为 DEV-0537,表示它入侵了“一个单一账户”,并窃取了部分产品的源代码。微软安全网站上的一篇博文称,微软调查人员已经跟踪 Lapsus$ 组织有数周时间,并详细介绍了他们用来破坏受害者系统的一些方法。

微软坚称,泄露的代码还没有严重到导致风险上升的程度,其响应团队在应对过程中将黑客拒之门外。

此前报道称,Lapsus$ 获得了英伟达 1TB 的数据,包括驱动程序、原理图或固件信息,还获得了三星 Galaxy 设备操作相关的源代码。这些入侵盗取资料行为已被英伟达、 三星官方证实。

身份认证公司 Okta 则表示,检测到有人企图破坏一个第三方客户支持工程师账户。Lapsus$ 则声称没有访问或获取 Okta 本身的数据,而是获得了其客户的数据,包括 Cloudflare、Grubhub、Peloton、Sonos、T-Mobile 和雅虎。

  微软回应被黑客攻击:问题不大3

美国当地时间周二,微软发布博文证实,经过调查后发现,该公司产品的部分源代码被黑客窃取,并披露了发动袭击的黑客组织的老底。

微软在博文中称,此次黑客袭击由名为DEV-0537的黑客组织发动,它也被称为Lapsus$。该组织以使用纯粹的勒索和破坏模型而闻名,而不是部署勒索软件。Dev-0537开始以英国和南美公司为目标,后来扩展到全球目标。同时,该组织还会侵入虚拟货币交易所的个人用户账户,以窃取虚拟货币。

与大多数黑客组织不同的是,DEV-0537似乎没有掩盖自己的踪迹。

他们甚至公开宣扬自己对社交媒体发动攻击,以及从目标公司员工那里购买凭证等内幕。Dev-0537还使用了微软所追踪其他黑客较少使用的几种策略,包括基于电话的社交工程(Social Engineering),比如SIM交换以促进帐户接管、访问目标公司员工的个人电子邮件帐户、向目标公司的员工、供应商或业务合作伙伴付钱以获得访问凭证和多因素身份验证(MFA)批准的权限等。

DEV-0537的黑客专注于他们的社交工程努力,以收集关于袭击目标的商业运营信息。这些信息包括有关最终用户、团队结构、帮助台、危机应对工作流程和供应链关系的深入知识。这些社交工程策略的例子包括用多因素身份验证(MFA)提示向目标用户发送垃圾邮件,以及致电公司的帮助台以重置目标的凭证。

微软威胁情报中心(MSTIC)评估称,DEV-0537黑客的目标是通过被盗凭证获得更高的访问权限,这些凭证允许其针对目标公司进行数据盗窃和破坏性攻击,然后进行敲诈勒索。战术和目标表明,DEV-0537是个以窃取和破坏为动机的网络犯罪组织。

微软发现,在某些情况下,DEV-0537首先瞄准并侵入个人或私人(与工作无关)帐户,允许他们访问,然后寻找可用于访问公司系统的其他凭证。鉴于员工通常使用这些个人帐户进行他们的第二因素身份验证或密码恢复,DEV-0537黑客经常使用这种方法来重置密码,并完成帐户恢复操作。

微软还发现,DEV-0537通过招聘目标公司(或其供应商、业务合作伙伴)员工成功地获得访问权限。该组织发布广告称,他们想为袭击目标公司购买凭证,以此吸引员工或承包商参与其中。自愿参与的共犯必须提供他们的凭证并批准MFA,或者让在公司工作站上安装AnyDesk或其他远程管理软件,从而允许黑客控制经过身份验证的系统。

当DEV-0537使用被攻破的.帐户获得对目标公司网络的访问权限后,他们就会使用多种策略来发现其他凭证或入侵点来扩展其访问权限。然后,他们继续搜索SharePoint或Confluence这样的协作平台,像JIRA这样的问题跟踪解决方案,像GitLab和GitHub这样的代码库,以及像Team或Slack这样的办公协作渠道,以进一步发现访问其他敏感信息的高权限帐户凭证。

Dev-0537还会利用Confluence、JIRA和GitLab中的漏洞进行权限提升。该组织危害了运行这些应用程序的服务器,以获取特权帐户的凭证或在所述帐户中运行,并从那里转储凭证。获得域管理员访问权限或同等访问权限后,Dev-0537会使用内置的Ntdsutil实用程序提取AD数据库。

在某些情况下,DEV-0537甚至致电目标公司的服务台,试图说服支持人员重置特权帐户的凭证。该组织会使用之前收集的信息(例如个人资料),并让母语为英语的呼叫者与服务台人员交谈,以增强其社交工程的吸引力。由于许多公司将他们的服务台支持外包,这种策略试图利用这些供应链关系,特别是在公司赋予服务台人员提升特权能力的情况下。

微软发现,DEV-0537拥有专用的基础设施,他们在已知的虚拟专用服务器(VPS)提供商中运行,并利用NordVP N作为其出口点。

如果成功获得了对目标组织云服务(AWS或Azure)的特权访问权限,DEV-0537会在组织的云实例中创建全局管理员帐户,设置Office 365用户级别的邮件传输规则,将所有进出公司的邮件发送到新创建的帐户,然后删除所有其他全局管理员帐户,因此只有黑客才能控制云资源,从而有效地将公司锁定在所有访问之外。

同时,DEV-0537黑客还会加入目标公司的危机沟通电话会议和内部讨论板(Slack和Teams等),了解事件响应工作流程及其对策,这为DEV-0537提供了对入侵目标心理状态的洞察,以便发起敲诈勒索。在某些情况下,DEV-0537勒索受害者以防止被盗数据泄露。其他时候,即使没有进行敲诈勒索,DEV-0537也公开泄露了他们窃取的数据。

本周,DEV-0537公开声称,他们已经获得了微软的访问权限,并泄露了部分产品的源代码。微软表示,泄露的数据没有涉及客户代码,而且只有一个账户被攻破,让黑客获得了有限的访问权限。微软网络安全响应团队迅速介入,修复了受攻击的帐户并防止进一步的黑客攻击。

微软表示,该公司不依赖代码的保密性作为安全防护措施,查看其源代码不会导致风险上升。在这次入侵中,DEV-0537就使用了上述战术。当黑客公开披露他们的入侵行动时,微软的团队已经在根据威胁情报调查被泄露的账户。黑客的公开披露使微软的行动升级,允许团队在操作过程中进行干预和中断,限制了更广泛的袭击影响。

为了避免受到类似黑客袭击影响,微软建议加强实施多因素身份验证(MFA)。虽然DEV-0537依然试图找出MFA的漏洞,但它仍然是确保员工、供应商和其他人员身份安全的关键支柱。此外,微软建议用户使用可信、合规且健康的设备访问资源,加强并监控云服务安全,提高对社交工程攻击的认识,并建立应对DEV-0537入侵的运营安全流程。

《微软回应被黑客攻击:问题不大.doc》
将本文的Word文档下载到电脑,方便收藏和打印
推荐度:
点击下载文档

文档为doc格式