L'étonnant profil du groupe cybercriminel LAPSUS$

Ces dernières semaines, les équipes de Microsoft Security auraient en effet « activement suivi une campagne d'ingénierie sociale et d'extorsion à grande échelle contre plusieurs organisations, certaines ayant vu des preuves d'éléments destructeurs » :

« Au fur et à mesure que cette campagne s'est accélérée, nos équipes se sont concentrées sur la détection, les notifications aux clients, les briefings sur les renseignements sur les menaces et le partage avec nos partenaires de collaboration du secteur pour comprendre les tactiques et les cibles de l'acteur. »

Microsoft explique avoir ainsi « amélioré [sa] capacité à suivre cet acteur et aidé les clients à minimiser l'impact des intrusions actives et, dans certains cas, travaillé avec les organisations concernées pour arrêter les attaques avant le vol de données ou les actions destructrices » :

« DEV-0537 est connu pour utiliser un modèle d'extorsion et de destruction pure sans déployer de charges utiles de ransomware. DEV-0537 a commencé à cibler des organisations au Royaume-Uni et en Amérique du Sud, mais s'est étendu à des cibles mondiales, y compris des organisations dans les secteurs du gouvernement, de la technologie, des télécommunications, des médias, de la vente au détail et de la santé. DEV-0537 est également connu pour prendre en charge les comptes d'utilisateurs individuels sur les échanges de crypto-monnaie pour drainer les avoirs en crypto-monnaie. »

De nombreuses traces de ses méfaits

Son analyse de ses tactiques, techniques et procédures (TTP) aurait été facilitée du fait que, contrairement aux gangs de cybercriminels et APT, LAPSUS$ ne serait guère féru d'OPSEC (pour « OPerations SECurity », en français Sécurité opérationnelle), laissant de nombreuses traces de ses méfaits, voire s'en vantant sans prendre les précautions d'usage : « Ils vont jusqu'à annoncer leurs attaques sur les réseaux sociaux ou à annoncer leur intention d'acheter des identifiants à des employés d'organisations cibles » :

« Sur la base de nos observations, DEV-0537 dispose d'une infrastructure dédiée qu'il exploite chez des fournisseurs de serveurs privés virtuels (VPS) connus et exploite NordVPN pour ses points de sortie. »

Lorsqu'ils réussissaient à obtenir un accès privilégié au locataire cloud d'une organisation (AWS ou Azure), DEV-0537 créait des comptes d'administrateur globaux dans les instances cloud de l'organisation, redéfinissait une règle de transport de courrier « pour envoyer tout le courrier entrant et sortant de l'organisation vers le compte nouvellement créé », puis supprimait « tous les autres comptes d'administrateur globaux, de sorte que seul l'acteur ait le contrôle exclusif des ressources cloud, bloquant ainsi l'organisation de tout accès » :

« Nous avons observé la suppression de ressources à la fois sur site (par exemple, VMware vSphere/ESXi) et dans le cloud pour déclencher le processus de réponse aux incidents et aux crises de l'organisation.

L'acteur a ensuite été observé en train de rejoindre les appels de communication de crise de l'organisation et les forums de discussion internes (Slack, Teams, conférences téléphoniques et autres) pour comprendre le flux de travail de réponse aux incidents et leur réponse correspondante.

Cela fournit à DEV-0537 un aperçu de l'état d'esprit de la victime, sa connaissance de l'intrusion et un lieu pour lancer des demandes d'extorsion. »

Des petites annonces pour recruter des complices en interne

Si les premières attaques observées par DEV-0537 ciblaient des comptes possédant des crypto-monnaies, « entraînant la compromission et le vol de portefeuilles et de fonds », ils ont ensuite commencé à « cibler les télécommunications, l'enseignement supérieur et les organisations gouvernementales en Amérique du Sud », avant de s'attaquer à des entreprises « à l'échelle mondiale » :

« Ils ont également été observés ciblant des entités gouvernementales, la fabrication, l'enseignement supérieur, l'énergie, les détaillants et les soins de santé. »

D'après KrebsOnSecurity, la majeure partie des victimes de LAPSUS$ résidaient en effet initialement en Amérique latine et au Portugal.

Contrairement aux groupes de rançongiciels, LAPSUS$ pénètrait majoritairement ses cibles via « social engineering », cherchant à soudoyer ou tromper ses employés ou partenaires, tels que les services et centres d'appels d'assistance à la clientèle :

« DEV-0537 a annoncé qu'il souhaitait acheter des informations d'identification pour ses cibles afin d'inciter les employés ou les sous-traitants à participer à son fonctionnement. Moyennant des frais, le complice volontaire doit fournir ses informations d'identification et approuver l'invite MFA [authentification multi-facteurs, ndlr] ou demander à l'utilisateur d'installer AnyDesk ou un autre logiciel de gestion à distance sur un poste de travail d'entreprise permettant à l'acteur de prendre le contrôle d'un système authentifié. »

Microsoft évoque ainsi une annonce proposant de recruter des « insiders » ou employés chez les principaux fournisseurs de téléphonie mobile, les grandes sociétés de logiciels et de jeux, les sociétés d'hébergement et les centres d'appels.

Selon KrebsOnSecurity, LAPSUS$ recrute des complices sur plusieurs plateformes de médias sociaux depuis au moins novembre 2021. L'un des principaux membres, répondant aux surnoms de « Oklaqq » et « WhiteDoxbin », avait ainsi publié des annonces de recrutement sur Reddit l'année dernière, offrant aux employés de AT&T, T-Mobile et Verizon jusqu'à 20 000 dollars par semaine pour effectuer des « travaux internes », notamment usurper la carte SIM (« Sim swapping ») d'un ou deux clients par semaine.

Une fois le numéro de téléphone récupéré, le groupe pouvait intercepter les mots de passe à usage unique envoyés par SMS dans le cadre de la double authentification, et réinitialiser les mots de passe de sa victime.

Microsoft affirme que LAPSUS$ est également connu pour acheter des informations d'identification, jetons de session et cookies d'authentification sur des forums criminels.

The Record avait ainsi décrit comment des pirates ayant extorqué EA l'an passé avaient « déclaré avoir utilisé les cookies d'authentification pour imiter le compte d'un employé EA déjà connecté et accéder au canal Slack d'EA, puis tromper un membre du personnel d'assistance informatique d'EA pour qu'il leur accorde l'accès au réseau interne de l'entreprise ».

Attaquer les comptes perso, pour pirater les comptes pro

Dans certains cas, écrit Microsoft, LAPSUS$ a d'abord « ciblé et compromis les comptes personnels ou privés (non liés au travail) d'un individu » pour ensuite « rechercher des informations d'identification supplémentaires qui pourraient être utilisées pour accéder aux systèmes de l'entreprise » :

« Étant donné que les employés utilisent généralement ces comptes ou numéros personnels pour la double authentification ou comme compte de récupération de mot de passe, le groupe utilise souvent cet accès pour réinitialiser les mots de passe et effectuer des actions de récupération de compte. »

LAPSUS$ appelait aussi le service d'assistance d'une organisation cible afin d'essayer de convaincre son personnel de réinitialiser les informations d'identification d'un compte privilégié.

@lapsusjobs recrutait également des employés d'entreprises de telcos, call-centers, éditeurs de logiciels (« Microsoft, Apple, EA, IBM ») et hébergeurs afin qu'ils leurs fournissent des accès VPN, RDP, VDI, « y compris Citrix, ou des fournisseurs d'identité (y compris Azure Active Directory, Okta) » à leurs serveurs internes.

Racheter un forum de doxxing et finir... doxxé

Allison Nixon, responsable de la recherche chez Unit 221B, un cabinet de conseil en cybersécurité qui a suivi les membres de LAPSUS$ avant qu'ils ne forment le groupe, pense avoir identifié le cerveau présumé du groupe.

« WhiteDoxbin » aurait en effet racheté l'an passé Doxbin, un site d'échange de données personnelles de personnes ayant été « doxées ». Or, de nombreux membres de Doxbin étaient mécontents de sa gestion du site : « Il n'était pas un bon administrateur et ne pouvait pas faire fonctionner correctement le site Web », explique Nixon à KrebsOnSecurity. « La communauté Doxbin était assez contrariée, alors ils ont commencé à le cibler et à le harceler ».

En janvier 2022, WhiteDoxbin aurait accepté « à contrecœur » de revendre le forum à son ancien propriétaire « avec une perte considérable », et tout en divulguant sur Telegram l'intégralité des données de Doxbin, y compris celles qui n'avaient pas encore été rendues publiques. Au point d'être lui-même doxé dans la foulée :

« La communauté Doxbin a réagi avec férocité, publiant sur WhiteDoxbin peut-être le dox le plus complet que la communauté ait jamais produit, y compris des vidéos censées être tournées la nuit devant son domicile au Royaume-Uni. »

À les en croire, WhiteDoxbin aurait débuté dans le commerce d'achat et de vente de vulnérabilités 0-day, et déclaré sous le pseudonyme « Breachbase » sur RaidForums en octobre 2020 qu'il disposait d'un budget de 100 000 dollars en bitcoins pour acheter des failles dans Github, Gitlab, Twitter, Snapchat, Cisco VPN, Pulse VPN et d'autres outils d'accès ou de collaboration à distance.

Nixon a expliqué à KrebsOnSecurity qu'avant de lancer LAPSUS$, WhiteDoxbin était un membre fondateur d'un groupe cybercriminel se faisant appeler « Recursion Team » spécialisé dans l'échange de cartes SIM (avec des cibles d'intérêt) et dans la participation à des attaques de « swatting » consistant à revendiquer au téléphone de fausses menaces de meurtres, attentats, prises d'otages à la police afin de les inciter à venir arrêter leurs cibles.

Microsoft reconnaît que DEV-0537 « a déclaré publiquement avoir eu accès à Microsoft et exfiltré des portions de code source », mais précise qu' « aucun code ou donnée client n'a été impliqué dans les activités observées. Notre enquête a révélé qu'un seul compte avait été compromis, accordant un accès limité ».

Des pirates plus motivés par la notoriété que par le gain

Joseph Cox, journaliste à MotherBoard, raconte pour sa part comment le groupe l'avait contacté pour servir d'intermédiaire avec EA. Ils ne savaient pas comment monétiser le vol du code source du moteur Frostbite. «Ils étaient terriblement mauvais dans ce domaine », en tout cas à leurs débuts :

« Ils ne savaient pas vraiment à qui envoyer la demande, alors ils m'ont demandé, en tant que journaliste qui était en contact avec EA au sujet de la violation, d'agir comme intermédiaire. L'effort d'extorsion était si bâclé que plus tard, un porte-parole d'EA m'a demandé de les mettre en contact avec les pirates. (J'ai refusé les deux demandes). »

Plusieurs chercheurs en sécurité, avec lesquels Motherboard s'est entretenu, ont souligné que l'utilisation de Telegram par LAPSUS $ pour annoncer publiquement des violations était inhabituelle. « LAPSUS$ a un désir inhabituel d'attention. Demander au public de voter sur les données de la victime à divulguer ensuite sur leur chaîne Telegram est un exemple typique », explique Inês Vestia de l'équipe de renseignement de la société de cybersécurité SilentPush, qui a suivi les publications du groupe.

Pour autant, sa dernière cible, Okta, une société cotée en bourse avec une capitalisation boursière de 23 milliards de dollars, montrait que LAPSUS$ « pouvait être réellement dangereux », souligne Motherboard.

Il s'agit en effet d'un fournisseur d'authentification que les entreprises et les agences utilisent pour connecter les travailleurs à leurs systèmes. Okta a reconnu que 2,5 % de ses clients avaient potentiellement été affectés. En réponse, LAPSUS$ a rétorqué avoir été en capacité de réinitialiser les mots de passe de 95 % de ses clients.

L'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) avait d'ailleurs déclaré qu'elle « accordait une attention très particulière à LAPSUS$ », précisant que le groupe ne semblait pas être une façade du gouvernement russe.

L'Unité 42 de Palo Alto qualifiait l'approche de LAPSUS$ d'« inhabituelle », à mesure que « la notoriété semble le plus souvent être son objectif, plutôt que le gain financier » :

« Le groupe LAPSUS$ n'utilise pas de logiciels malveillants, ne chiffre pas les données avec un rançongiciel et, dans la plupart des cas, ne menace pas d'extorsion. Ils se concentrent sur l'utilisation d'une combinaison d'informations d'identification volées et d'ingénierie sociale pour pirater leurs victimes. »

Interrogé par Tecmundo, Alexander Pavlov (autre pseudo de « WhiteDoxbin ») – qui, ironiquement, arbore une photo de profil de Kim Jong-un, guide suprême de la Corée du Nord – pour comprendre pourquoi il avait créé une chaîne sur Telegram, a répondu qu'il « l'avait fait principalement pour le plaisir, pour avoir des supporters ».

Et pourquoi permettre à des milliers de personnes d'avoir un accès illimité aux publications et de pouvoir se parler, créant une communauté ouverte sur laquelle le public et la presse peuvent garder un œil ? « Parce que je peux ».

Il estimait en outre que la médiatisation du groupe pouvait inciter les victimes à payer les rançons, et se targuait d'avoir gagné 750 000 dollars en 12 mois.

Une nouvelle tendance en cybercriminalité

Security Week relève de son côté que « le chaos – et les controverses en cours – causés par LAPSUS$ confirment que les surfaces d'attaque et les dépendances de fournisseurs tiers exposent des surfaces d'attaque presque impossibles à défendre » :

« Pire encore, cela confirme que même les organisations les mieux dotées en ressources et dotées des meilleurs talents en matière de sécurité peuvent être victimes d'attaquants qualifiés et motivés. »

Pour Brian Krebs, « il est tentant de considérer LAPSUS$ comme puéril et en quête de gloire. C'est peut-être vrai. Mais tous ceux en charge de la sécurité doivent savoir que ce niveau d'ingénierie sociale pour voler l'accès est la nouvelle norme ». Et de citer « un professionnel de la sécurité qui a combattu LAPSUS$ » :

« Cela nous oblige à changer de réflexion sur l'accès des "insiders". Les États-nations veulent un accès stratégique plus long ; les groupes de rançongiciels veulent un mouvement latéral. LAPSUS$ demande : Qu'est-ce que ce compte peut m'apporter dans les 6 prochaines heures ? Nous ne sommes pas préparés à nous défendre de ça. »

DarkOwl, qui suivait LAPSUS$ après leur revendication de la responsabilité d'une cyberattaque majeure contre le ministère brésilien de la Santé à la mi-décembre 2021, estimait lui aussi que « le groupe cybercriminel a le potentiel de devenir un formidable acteur de la menace du darknet avec la fréquence croissante des attaques ces dernières semaines ».

Des captures d'écran d'une présentation Powerpoint détaillant comment les forces de l'ordre interceptaient les appels téléphoniques, les SMS et l'activité du réseau des clients de l'entreprise brésilienne de télécommunications Claro, suggérait que le système d'exploitation était Windows et que la température était de 4°C à 21h56 le 25 décembre 2021.

Or, « en appliquant une analyse OSINT simple à l'aide de bases de données météorologiques historiques, nous avons découvert que São Paulo, au Brésil, n'avait pas de conditions météorologiques à cette date/horodatage, mais Londres, au Royaume-Uni, a connu des conditions météorologiques similaires », écrivait DarkOwl.

Sur sa chaîne Telegram, LAPSUS$ explique que « personne n'a été arrêté », mais suggère que certains auraient été arrêtés avant pour autre chose. Il vient en outre d'annoncer l'arrivée d'un nouveau modérateur.

Selon la police, les pirates présumés ont été libérés sans être inculpés, explique aujourd'hui le journaliste de la BBC qui avait révélé les arrestations. Il ajoute : « nous ne savons évidemment pas s'il s'agit des principaux suspects de LAPSUS$ ».

Les recommandations de Microsoft

LAPSUS$ ayant tenté d'identifier « les lacunes de l'authentification multifacteur (MFA) », cette dernière reste « un pilier essentiel de la sécurité de l'identité pour les employés, les fournisseurs et les autres membres du personnel », explique Microsoft, qui recommande d' « exiger des terminaux sains et fiables » et de  :

• Exiger la MFA pour tous les utilisateurs quelque soit leur emplacement, y compris les environnements de confiance perçus et toutes les infrastructures accessibles sur Internet, même celles provenant de systèmes sur site.
• Tirer parti d'implémentations plus sécurisées telles que les jetons FIDO ou Authenticator avec correspondance de numéros. Évitez les méthodes MFA basées sur la téléphonie pour éviter les risques associés au détournement de carte SIM.
• Utiliser la protection par mot de passe Azure AD pour vous assurer que les utilisateurs n'utilisent pas de mots de passe faciles à deviner. Son blog sur les attaques par pulvérisation de mot de passe présente des recommandations supplémentaires.
• Tirer parti des méthodes d'authentification sans mot de passe telles que Windows Hello Entreprise, Authenticator ou les jetons FIDO pour réduire les risques et les problèmes d'expérience utilisateur associés aux mots de passe.
• Exiger  des appareils fiables, conformes et sains pour accéder aux ressources afin d'empêcher le vol de données.
• Activer la protection fournie par le cloud dans Defender pour couvrir les outils et techniques d'attaque en évolution rapide, bloquer les variantes de logiciels malveillants nouvelles et inconnues et améliorer les règles de réduction de la surface d'attaque et la protection contre les falsifications.

Microsoft déconseille a contrario de :

• Utiliser des facteurs MFA faibles tels que les messages texte (susceptibles de changer de carte SIM), les approbations vocales simples, le simple push (utilisez plutôt la correspondance des numéros ) ou les adresses e-mail secondaires.
• Inclure les exclusions basées sur la localisation. Les exclusions MFA permettent à un acteur avec un seul facteur pour un ensemble d'identités de contourner les exigences MFA s'il peut entièrement compromettre une seule identité.
• Autoriser le partage des informations d'identification ou du facteur MFA entre les utilisateurs.