Microsoft a pris Lapsus$ la main dans le sac
L’éditeur reconnaît que Lapsus$ a eu accès à certains de ses systèmes et « exfiltré des portions de code source ». Un seul compte aurait été compromis, mais Microsoft assure que ses équipes enquêtaient déjà au moment des revendications.
Okta est loin d’être le seul à avoir croisé le fer avec Lapsus$. Microsoft est également concerné. La revendication est survenue dimanche 20 mars et a été initialement accueillie avec beaucoup de circonspection.
Mais le vol de données apparaît confirmé, selon les constatations de Soufiane Tahiri, ingénieur en sécurité de l’information chez Cdiscount : « cela va bien au-delà de Cortana ou du service de cartes de Bing », et les données dérobées seraient très variées avec « des e-mails, des clés privées de signature numérique, des certificats, etc. ». Au total, il faut en fait compter avec plus de 37 Go de données. Et selon d’autres observateurs, le code apparaît effectivement venir de chez Microsoft : les attaquants pourraient avoir eu accès à la plateforme DevOps interne de Microsoft.
Dans un billet de blog, l’éditeur reconnaît la matérialité de l’incident : « cette semaine, l’acteur [le groupe Lapsus$, N.D.L.R.] a déclaré publiquement qu’il avait obtenu l’accès à Microsoft et exfiltré des parties du code source ». Microsoft souligne qu’aucun « code ou donnée client n’a été concerné par les activités observées », mais indique que son « enquête a révélé qu’un seul compte avait été compromis, accordant un accès limité ».
En fait, l’éditeur précise que ses « équipes enquêtaient déjà sur le compte compromis, sur la base de renseignements sur les menaces, lorsque l’acteur a rendu publique son intrusion. Cette divulgation publique a intensifié notre action, permettant à notre équipe d’intervenir et d’interrompre l’acteur au milieu de l’opération, réduisant [le risque d’un] impact plus large ».
Microsoft assure ne pas s’appuyer « sur le secret du code comme mesure de sécurité ». Dès lors, pour lui, « la consultation du code source n’entraîne pas d’augmentation du risque ».
S’il peut paraître surprenant que Lapsus$ ait « grillé » son accès avec sa communication publique, le groupe assure que « négocier avec Microsoft n’a aucun intérêt. Même chose avec LG et Samsung ».
Au passage, Microsoft souligne que les techniques, tactiques et procédures (TTPs) de Lapsus$, de même que son infrastructure, « changent et évoluent constamment », mais également que le groupe ne cherche guère la discrétion. Selon l’éditeur, ces cyberdélinquants profitent notamment d’identifiants et de jetons de session dérobés à l’aide du stealer Redline pour accéder aux systèmes d’information de leurs victimes. Mais ils n’hésitent pas non plus à acheter des accès initiaux ou à soudoyer des employés.
L’analyste de Curated Intelligence @BushidoToken conforte cette analyse, relevant la difficulté à suivre et détecter une intrusion conduite par Lapsus$ : « personne ne publie de rapport sur les TTPs [du groupe] parce qu’aucun produit ne peut les détecter. Lapsus$ s’appuie sur des cookies volés obtenus sur des marchés tels que Genesis, ou via des complicités internes. Antivirus et EDR ne vous aideront pas ».
Pour approfondir sur Menaces, Ransomwares, DDoS
-
SolarWinds : sanctions civiles contre Avaya, Check Point, Mimecast et Unisys
-
Ransomware : un mois de mai aux chiffres indûment gonflés par LockBit
-
Midnight Blizzard a accédé aux systèmes et au code source de Microsoft
-
Ivanti révèle une nouvelle vulnérabilité inédite et diffuse des correctifs tardifs