data breach

Il gruppo Lapsus$ ruba codice sorgente Microsoft: la nostra analisi

Il gruppo estorsivo Lapsus$ ha rivendicato la violazione di circa 37 GB di dati da un server Azure DevOps di Microsoft, facendo trapelare online 9 GB di codice sorgente relativo ad alcuni progetti tra cui Bing e Cortana. Ecco cosa si sa finora del presunto data breach ai danni del colosso di Redmond

22 Mar 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Nelle prime ore di questa mattina il gruppo criminale Lapsus$ ha esposto un archivio contenente codice sorgente interno e riservato di Microsoft sul motore di ricerca Bing, Cortana e altri progetti minori, rivendicando così definitivamente l’attribuzione e l’esito positivo di questo attacco verso il colosso di Redmond. Aggiornamento 23 marzo: Microsoft conferma il furto, ma non lo considera grave.

L’impatto di questa operazione criminale potrebbe essere reputazionale. Colpisce in prima linea l’azienda Microsoft rivelando, dalla lettura pubblica del codice sorgente, alcuni segreti di sviluppo interni alla società. Nonché eventuali funzionalità più intrinseche dei prodotti colpiti.

Cosa sappiamo dell’attacco a Microsoft

Dalle ricostruzioni fatte, l’attacco a Microsoft che ha portato al furto di codici sorgenti risale alla giornata di domenica, quando il gruppo Lapsus$ ha pubblicato sul proprio canale Telegram un primo screenshot “provocatorio”. Solo uno screenshot, per segnalare che l’operazione stava per arrivare nella sua interezza.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Subito dopo, la stessa Microsoft ha confermato a The Register di aver fatto partire le indagini interne sull’accaduto e di essere in stato di allerta, appunto con priorità emergenziale.

Il seguito della vicenda si è concretizzato, purtroppo con successo, durante la notte tra ieri e oggi: sul canale Lapsus$ è infatti comparso un archivio condiviso via Torrent di 9 GB contenente codice sorgente del motore di ricerca Bing, Bing Maps e Cortana del tutto riservati, rendendoli di fatto pubblici.

Il materiale arriva direttamente da un accesso non autorizzato al sistema Azure DevOps, che contiene i repository dei progetti interni al colosso di Windows. L’archivio estratto raggiungerebbe la dimensione di 37 GB: considerando che si parla del 90% e del 45% dei progetti rispettivamente per Bing Maps e Bing/Cortana, potremmo essere di fronte al furto di una grande quantità di dati.

L’investigazione di Microsoft

Dunque, che l’azienda stesse indagando sulla vicenda è indubbio. Lo testimonia anche il fatto che tutti i leaks sono incompleti e sembra, a detta del gruppo criminale, che lo siano appunto per una perdita di collegamento avvenuta durante la fase di esfiltrazione dei dati.

Potrebbe dunque essere stata una “cattiva idea” quella di allertare sul leak, ad operazione ancora in corso? Probabilmente sì: lo screenshot di domenica non è stata la mossa migliore del gruppo criminale Lapsus$, nell’intento di sottrarre del materiale riservato, considerando che a quel momento, evidentemente, il dump non era ancora avvenuto.

Troviamo testimonianza di questo sulla chat ufficiale Telegram, da messaggi inviati proprio dall’organizzazione della chat.

Sembra, infatti, che sia stato rintracciato il punto di uscita dei dati e bloccato, nel bel mezzo della fase di esfiltrazione, come lamentano proprio gli organizzatori di Lapsus$.

Cosa impariamo dal data breach Microsoft

Analizzando il modus operandi di Lapsus$, ultimamente abbastanza prolifico, possiamo notare che il gruppo sia specializzato in data breach di materiali interni come codice sorgente, caratteristica che accomuna quasi tutte le loro operazioni criminali registrate finora.

Ricordiamo, infatti, che altrettanto rilevanti oltre al furto di dati ai danni di Microsoft sono state le altre operazioni portate a termine dal gruppo Lapsus$ rivolte contro NVIDIA, Samsung, Vodafone, Ubisoft e, notizia di questa mattina, anche Okta (piattaforma di gestione delle autenticazioni, cosa che ne fa ancora di più un target sensibile).

Comune a tutti questi incidenti di sicurezza, il fatto che, con l’abuso di un accesso non autorizzato alle varie piattaforme DevOps delle società prese di mira, una volta conquistato il gruppo criminale si limita a prendere possesso dei file riservati all’interno.

È lecito pensare, infine, che il gruppo lavori con l’utilizzo (probabilmente remunerato) di insiders specifici che possano fornire loro accessi non autorizzati.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 4