Hackersgroep lekt gigabytes aan vermeende broncodes van Microsoft

De hackersgroep Lapsus$ claimt Microsoft te hebben gehackt. De groep publiceert 37GB aan data online en meldt op Telegram dat de dataset onder meer de broncode van Bing, Cortana en andere interne projecten van Microsoft omvat. Ook authentificatiespecialist Okta lijkt doelwit te zijn van Lapsus$.

De groep publiceerde maandagnacht een torrent met een archiefbestand van 9GB, dat uitgepakt zo'n 37GB aan data omvat. De gegevens hebben betrekking op naar verluid ruim 250 projecten van Microsoft. De groep claimt 90% van de broncode van Bing te hebben gepubliceerd en zo'n 45% van de broncode van Bing Maps en Cortana.

Een aantal security-onderzoekers is in de uitgelekte gegevens gedoken. Zij melden aan Bleeping Computer dat de data inderdaad legitieme broncode van Microsoft lijkt te omvatten. Ook interne e-mailberichten en documentatie van Microsoft engineers zouden zijn uitgelekt. De projecten lijken vooral gerelateerd aan webgebaseerde infrastructuur, websites en mobiele apps.

Volgens Erik Westhovens, Cyber security Investigator bij Insight kon het probleem nog wel eens veel dieper worden. Als de sourcecode gelekt is dan kunnen er heel veel zero days ontstaan die dan misbruikt worden om gebruikers van de software aan te vallen en hun systemen te compromitteren.

Mogelijk ook Okta gehackt

Mogelijk is ook het authentificatieplatform Okta door Lapsus$ gehackt. In berichten op Telegram geven de aanvallers screenshots vrij van de vermeende hack op Okta. Op de screenshots lijkt te zien dat de hackers toegang hebben tot beheerdersaccounts. De screenshots dateren uit eind januari. Okta meldt aan Reuters op de hoogte te zijn van een mogelijke cyberinbraak en dit te onderzoeken.

De aanvallers melden geen data te hebben ontvreemd bij het authentificatieplatform. Zij stellen vooral interesse te hebben in klanten van Okta en niet zo zeer in Okta zelf. Het lijkt dan ook te gaan om een supply chain-aanval.

Volgens Erik Westhovens is het heel aannemelijk dat via Okta meerdere bedrijven geraakt kunnen worden. Veel techfirma’s waaronder ook Apple gebruiken Okta. Als daar data ontvreemd is of een zero day in ontdekt is door de hackers, dan kan dit wel eens heel grote gevolgen gaan hebben.

Meer cyberaanvallen geclaimd

Recentelijk zijn meer cyberaanvallen geclaimd door Lapsus$. De groep zegt onder meer te zijn binnengedrongen bij NVIDIA, Samsung, Vodafone, Ubisoft en Mercado Libre.

Lapsus$ is een relatief nieuwe ransomwaregroepering, geeft Erik Westhovens aan. In december 2021 werd de groepering bekend na de ransomware aanval op het Braziliaanse Ministerie van Zorg. De aanval op Microsoft komt enkele dagen nadat er op Telegram recruitement posts verschenen waarin lapsus$ system administrators tegen betaling opriep om toegang te geven: “We recruit employees/insider at the following: any company providing telecommunications, large software/gaming corporations (Microsoft, Apple, EA, IBM and other similar). Call centre/BPM, server hosts.”  

Alhoewel er geen bewijs is dat deze oproep succesvol is gebruikt bij Microsoft employees, is het ook niet te verwaarlozen. Insider risk is een reëel risico waar bedrijven zich nog veel te vaak niet van bewust zijn