Hacker-Gruppe Lapsus$ leakt 37 Gigabyte Microsoft-Interna
Microsoft und Okta haben erfolgreiche Attacken durch Lapsus$ bestätigt. Unter den geleakten Daten soll sich Quellcode von Bing und Cortana befinden.
(Bild: CarpathianPrince/Shutterstock.com)
Der Hacker-Gruppe Lapsus$ macht erneut Ernst und hat interne Daten von Microsoft in einem 37 Gigabyte großen Archiv veröffentlicht. Neben Microsoft hat nun auch der Zugriffsmanagement-Dienstleister Okta unberechtigte Serverzugriffe eingestanden.
Unter den geleakten Daten sollen sich der Source Code von 250 Microsoft-Projekten befinden. Wie das IT-Nachrichten-Portal Bleepingcomputer berichtet, befinde sich in dem Archiv unter anderem 90 Prozent des Quellcodes von Bing. Verschiedene Sicherheitsforscher haben dem Portal berichtet, dass die Daten sehr wahrscheinlich echt sind. Code von Office und Windows sei nicht dabei.
Angreifer breiten sich aus
In einer Analyse zum Vorfall versichert Microsoft, dass die Angreifer keinen Zugriff auf Kundendaten hatten. Der Einstiegspunkt für die Angreifer soll ein kompromittierter Account mit beschränkten Zugriffsrechten gewesen sein. Das Schlupfloch sei mittlerweile geschlossen.
Um an Zugangsdaten zu gelangen, setzt die Gruppe Microsofts Analyse zufolge unter anderem den Passwort-Trojaner Redline ein. Haben die Angreifer Zugriff auf ein Netzwerk, hangeln sie sich von dort weiter (Lateral Movement) und versuchen über Confluence oder Teams an weitere Passwörter zukommen.
Attacke bestätigt
Nachdem es erst nur Mutmaßungen über die Lapsus$-Gruppe als Angreifer auf Okta gab, hat das Unternehmen den Zugriff nun in einem Statement bestätigt. Okta versichert, dass von dem Vorfall nur rund 2,5 Prozent der Kunden betroffen waren. Hier soll es Datenzugriffe gegeben haben. Ob Daten kopiert wurden, geht aus dem Statement nicht hervor. Okta ist ein großer Identitäts- und Zugriffsmanagement-Dienstleister zu deren Kunden unter anderem Cloudflare, Github und T-Mobile gehören. Okta versichert, dass der Anmelde-Service durch die Attacke nicht eingeschränkt ist.
Auf Twitter kursiert ein Screenshot, der Äußerungen von Lapsus$ zum Okta-Statement zeigen soll. Darin werfen die Angreifer dem Dienstleister vor, die Auswirkungen der Attacke herunterzuspielen. Eigenen Angaben zufolge hätten sie unter anderem Zugriff auf ein Superuser-Portal mit der Möglichkeit, die Passwörter und Multi-Faktor-Authentifizierung (MFA) von rund 95 Prozent der Kunden zurückzusetzen.
Welches Ziel Lapsus$ mit den Attacken auf Okta und Microsoft verfolgt, ist bislang unklar. Beispielsweise im Fall von Nivdia haben sie damit gedroht, immer mehr Daten zu veröffentlichen, wenn der Grafikkarten-Hersteller nicht die Miningbremse bei seinen GeForceKarten entfernt.
(des)
