Microsoft und Okta: Hacker-Gruppe Lapsus$ hat offenbar erneut zugeschlagen

Derzeit untersuchen Microsoft bei Azure DevOps und der Zugriffsmanagement-Dienstleister Okta unberechtigte Server-Zugriffe.

In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen
Cyber,Hacker,Attack,Background,,Skull,Vector

(Bild: Sashkin/Shutterstock.com)

Update
Lesezeit: 2 Min.

Es mehren sich Hinweise, dass die Lapsus$-Gruppe Zugriff auf interne Daten von Microsoft und Okta hatte. Was die Angreifer konkret einsehen konnten, ist bislang unklar.

Bei Microsoft soll einem Sicherheitsforscher zufolge ein Repository mit Source Code von Azure DevOps im Fokus der Angreifer gewesen sein. Der von ihm auf Twitter veröffentlichte Screenshot soll von Lapsus$ aus einer Telegram-Gruppe stammen. Ob und welche Daten die Angreifer kopiert haben, ist bislang unbekannt. Bislang hat Microsoft die unberechtigten Zugriffe nicht bestätigt.

Okta ist ein Identitäts- und Zugriffsmanagement-Dienstleister, den unter anderem Cloudflare einsetzt. Der CEO von Cloudflare berichtet auf Twitter von dem Vorfall, versichert aber, dass es derzeit keine Beweise gebe, dass Cloudflare kompromittiert ist.

In einem Beitrag weist ein weiterer Sicherheitsforscher darauf hin, dass es die Angreifer auf Daten von Okta-Kunden abgesehen haben. Andererseits kursieren Screenshots im Netz mit angeblich geleakten internen Daten wie Mitarbeiternamen von Okta. Diese haben Sicherheitsforscher eigenen Angaben zufolge erfolgreich mit Linkedin-Profilen abgeglichen.

Das Geschäftsmodell von Lapsus$ besteht darin, Interna von Unternehmen zu kopieren und mit einer Veröffentlichung zu drohen. Im Fall von Nvidia und Samsung ist das zum Teil schon geschehen. Demzufolge wurde bereits Schadcode beobachtet, der mit einem Zertifikat von Nvidia signiert wurde. So einer Signatur vertrauen Betriebssysteme und führen den Code ohne weitere Nachfrage aus. Im Fall von Nvidia sollen die Angreifer über 1 TByte Daten erbeutet haben.

(UPDATE 22.03.2022 13:10 Uhr)

Mittlerweile hat sich der CEO von Okta auf Twitter zu Wort gemeldet und gibt an, dass es Ende Januar Versuche gab, das Kontos eines Kundensupportingenieurs zu hacken. Das soll wohl eingedämmt worden sein. Ob Lapsus$ dahintersteckt, bleibt wieterhin unklar. Danach soll es bis heute keine weiteren Vorfälle gegeben haben.

(des)