Lapsus$, nhóm hacker Bồ Đào Nha từ Brazil, có liên quan đến các cuộc tấn công mạng vào vài mục tiêu cấp cao gần đây. Băng đảng mạng này được biết đến nhiều nhất bằng việc công bố thông tin nhạy cảm bị đánh cắp từ các tập đoàn công nghệ lớn và chính phủ. Nhóm này tự hào về việc đột nhập vào Nvidia, Samsung, Ubisoft và nhiều công ty khác. Làm thế nào nhóm này quyết định tấn công vào các mục tiêu chưa bao giờ được công khai rõ ràng trước công chúng. Nếu đúng, vụ tấn công tại Okta có thể giải thích cách Lapsus$ dễ dàng đạt được một phần mục đích trong chuỗi thành công gần đây: hàng nghìn công ty sử dụng Okta để bảo mật và quản lý danh tính của họ. Thông qua các khóa ẩn được lấy trong Okta, nhóm hacker có thể truy cập vào các mạng và ứng dụng của công ty. Do đó, vụ tấn công ở Okta có thể dẫn đến những hậu quả nặng nề tiềm tàng.
Lapsus$ hoạt động vào tháng 12/2021. Hầu hết các hoạt động của nhóm chỉ tập trung vào việc tấn công các cơ quan chính phủ và các công ty công nghệ khác nhau. Kể từ khi bắt đầu hoạt động, nhóm này đã được coi là một “nhóm ransomware”, mặc dù hoạt động của nhóm cho đến nay rất khác với ‘nhóm ransomware thông thường’, vì chúng không mã hóa hệ thống của nạn nhân.
Lapsus$ duy trì rất tích cực một nhóm Telegram với hơn 35.000 người đăng ký, đăng tải thông báo về việc họ đã hoàn thành các cuộc tấn công mạng và đánh cắp được dữ liệu. Tuy nhiên, động cơ thực sự của nhóm vẫn chưa rõ ràng, ngay cả khi nhóm tuyên bố động cơ thực hiện hoàn toàn là về tài chính. Lapsus$ có sự gắn kết chặt chẽ với những người theo dõi và thậm chí còn đăng các cuộc bỏ phiếu ai sẽ là mục tiêu tiếp theo của họ.
Hình 1 – Kết quả thăm dò do nhóm Lapsus$ đăng tải các mục tiêu tiếp theo của họ
Cuộc tấn công đầu tiên mà nhóm tuyên bố là thuộc Bộ Y tế Brazil và các cơ quan chính phủ khác có liên quan vào tháng 12 năm 2021.
Hình 2 – Vụ tấn công đầu tiên vào cơ quan thuộc Bộ Y tế Brazil của nhóm Lapsus$
Kể từ đầu năm 2022, Lapsus $ đã tăng cường tiếp cận mạng và dính líu đến các vụ đánh cắp dữ liệu của một số tập đoàn công nghệ lớn trên thế giới, như NVIDIA, Samsung, Ubisoft và có cả Microsoft. Mục đích của nhóm đối với các ông lớn công nghệ này chủ yếu là mã nguồn.
Hình 3 – Các mã nguồn bị công khai của nhóm Lapsus$
Vào ngày 22 tháng 3, nhóm đã thông báo trên Telegram của mình rằng họ đã lấy được quyền truy cập vào tài khoản quản trị Okta – một công ty quản lý danh tính và quyền truy cập, bao gồm quyền truy cập vào các hệ thống nội bộ khác nhau của công ty, tuyên bố rằng mục tiêu thật sự của họ là nhằm vào thông tin công ty của khách hàng chứ không phải nhằm vào Okta.
Hình 4 – Thông báo của nhóm Lapsus$ về OKTA
Vẫn chưa rõ cách thức Lapsus $ tấn công nạn nhân, nhưng dựa vào thông báo của nhóm, có hai giả thiết được đưa ra:
- Tấn công vào chuỗi cung ứng – tấn công các nhà cung cấp dịch vụ như OKTA để tiếp cận khách hàng công ty.
- Tuyển dụng nhân viên nội bộ trong các tập đoàn lớn
Hình 5 – Bài đăng tuyển dụng nhân viên nội bộ của nhóm Lapsus$ vào tháng 3
CPR đặc biệt khuyên khách hàng của Okta nên cảnh giác cao độ và thực hiện an toàn mạng. Toàn bộ dữ liệu của nhóm hacker sẽ bị tiết lộ trong vài ngày tới.
Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn: https://blog.checkpoint.com/2022/03/22/lapsuss-okta-the-cyber-attacks-continue/
