聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
和其它勒索组织不同,Lapsus$ 组织并未在受害者设备上部署勒索软件,而是瞄准大企业的源代码仓库,窃取它们的专有数据并试图勒索数百万美元。
虽然目前尚不清楚 LAPSUS$ 组织是否成功勒索被盗数据,但在过去几个月已经被证实入侵英伟达、三星、沃达丰、育碧和 Mercado Libre公司。
上周日早上,Lapsus$ 团队在声称内部源代码仓库的 Telegram 频道上发布截屏,表示已入侵微软 Azure DevOps 服务器。该截屏是 Azure DevOps 仓库,包括Cortana 和多个 Bing 项目,名为 “Bing_STC-SV”、“Bing_Test_Agile” 和 “Bing_UX”。
截屏还展示了其它源代码仓库,不过目前尚不清楚其中所包含内容。奇怪的是,LAPSUS$ 团伙在截屏中留下了已登录用户的姓名首字母 “IS”,很可能是为了让微软找到并保护受陷账户的安全。包含首字母也可能意味着他们不再能够访问该仓库,或者只是像对待其它受害者那样折磨微软。
就在贴出该截屏后,Lapsus$ 团伙撤下这篇帖子并发布一条信息称,“现在删除了后续将重新贴出。”然而,研究人员已抓取该截屏并在推特上分享。
虽然微软尚未证实其 Azure DevOps 账户是否遭攻陷,但表示已关注此事并且正在调查。遗憾的是,从Lapsus$ 黑客组织之前的所做作为来看,此前关于攻击其它公司的言论后续一一证实。
虽然源代码被泄使人们能够更容易地找到公司软件中的漏洞,但之前微软已说明被泄源代码并不会提高风险。微软指出该公司的威胁模型假定威胁行动者已经通过逆向工程或之前的源代码泄露事件了解了软件的运作方式,因此查看源代码并不会提高风险。
然而,源代码仓库中通常也会包含访问令牌、凭据、API秘钥、甚至是代码签名证书。当 Lapsus$ 组织攻陷英伟达并发布其数据时,其中就包含代码签名证书且被其它威胁行动者用于签名恶意软件。使用英伟达的代码签名证书可导致反病毒引擎信任可执行文件并未将其检测为恶意性质。
微软此前表示其开发策略禁止源代码仓库中包含“机密”如API秘钥、凭据或访问令牌。即便如此,并不意味着源代码中不包含其它有价值数据如私钥或其它专有工具。
目前尚不清楚这些源代码仓库中包含哪些内容,但按照之前受害者的情况来看,Lapsus$ 组织迟早会泄露他们所声称的已获取的被盗数据。
原文始发于微信公众号(代码卫士):LAPSUS$声称盗取源代码仓库,微软正在调查
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论