Nelle prime ore di questa mattina il gruppo criminale Lapsus$ ha esposto un archivio contenente codice sorgente interno e riservato di Microsoft sul motore di ricerca Bing, Cortana e altri progetti minori, rivendicando così definitivamente l’attribuzione e l’esito positivo di questo attacco verso il colosso di Redmond. Aggiornamento 23 marzo: Microsoft conferma il furto, ma non lo considera grave.
L’impatto di questa operazione criminale potrebbe essere reputazionale. Colpisce in prima linea l’azienda Microsoft rivelando, dalla lettura pubblica del codice sorgente, alcuni segreti di sviluppo interni alla società. Nonché eventuali funzionalità più intrinseche dei prodotti colpiti.
Indice degli argomenti
Cosa sappiamo dell’attacco a Microsoft
Dalle ricostruzioni fatte, l’attacco a Microsoft che ha portato al furto di codici sorgenti risale alla giornata di domenica, quando il gruppo Lapsus$ ha pubblicato sul proprio canale Telegram un primo screenshot “provocatorio”. Solo uno screenshot, per segnalare che l’operazione stava per arrivare nella sua interezza.
Subito dopo, la stessa Microsoft ha confermato a The Register di aver fatto partire le indagini interne sull’accaduto e di essere in stato di allerta, appunto con priorità emergenziale.
Normally you wouldn’t give cred to a snapshot but Lapsus has breached:
-Samsung
-Impresa
-Mercado Libre
-Ubisoft
-NvidiaAllegedly pending:
-Vodafone
-MicrosoftCredible so far and rep is at stake.@msftsecurity @Microsoft #cybersecurity #infosec #Lapsus https://t.co/rSNF75HCD1 pic.twitter.com/1QSQh4i22C
— Dominic Alvieri (@AlvieriD) March 20, 2022
Il seguito della vicenda si è concretizzato, purtroppo con successo, durante la notte tra ieri e oggi: sul canale Lapsus$ è infatti comparso un archivio condiviso via Torrent di 9 GB contenente codice sorgente del motore di ricerca Bing, Bing Maps e Cortana del tutto riservati, rendendoli di fatto pubblici.
Il materiale arriva direttamente da un accesso non autorizzato al sistema Azure DevOps, che contiene i repository dei progetti interni al colosso di Windows. L’archivio estratto raggiungerebbe la dimensione di 37 GB: considerando che si parla del 90% e del 45% dei progetti rispettivamente per Bing Maps e Bing/Cortana, potremmo essere di fronte al furto di una grande quantità di dati.
L’investigazione di Microsoft
Dunque, che l’azienda stesse indagando sulla vicenda è indubbio. Lo testimonia anche il fatto che tutti i leaks sono incompleti e sembra, a detta del gruppo criminale, che lo siano appunto per una perdita di collegamento avvenuta durante la fase di esfiltrazione dei dati.
Potrebbe dunque essere stata una “cattiva idea” quella di allertare sul leak, ad operazione ancora in corso? Probabilmente sì: lo screenshot di domenica non è stata la mossa migliore del gruppo criminale Lapsus$, nell’intento di sottrarre del materiale riservato, considerando che a quel momento, evidentemente, il dump non era ancora avvenuto.
Troviamo testimonianza di questo sulla chat ufficiale Telegram, da messaggi inviati proprio dall’organizzazione della chat.
Sembra, infatti, che sia stato rintracciato il punto di uscita dei dati e bloccato, nel bel mezzo della fase di esfiltrazione, come lamentano proprio gli organizzatori di Lapsus$.
Cosa impariamo dal data breach Microsoft
Analizzando il modus operandi di Lapsus$, ultimamente abbastanza prolifico, possiamo notare che il gruppo sia specializzato in data breach di materiali interni come codice sorgente, caratteristica che accomuna quasi tutte le loro operazioni criminali registrate finora.
Ricordiamo, infatti, che altrettanto rilevanti oltre al furto di dati ai danni di Microsoft sono state le altre operazioni portate a termine dal gruppo Lapsus$ rivolte contro NVIDIA, Samsung, Vodafone, Ubisoft e, notizia di questa mattina, anche Okta (piattaforma di gestione delle autenticazioni, cosa che ne fa ancora di più un target sensibile).
Comune a tutti questi incidenti di sicurezza, il fatto che, con l’abuso di un accesso non autorizzato alle varie piattaforme DevOps delle società prese di mira, una volta conquistato il gruppo criminale si limita a prendere possesso dei file riservati all’interno.
È lecito pensare, infine, che il gruppo lavori con l’utilizzo (probabilmente remunerato) di insiders specifici che possano fornire loro accessi non autorizzati.
