March 24, 2022, 11:43pm
"あなたによってEAにメッセージを送りたい "と、ハッカーは暗号化されたチャットで私に書きました。"ハッキングする動機は何ですか?明らかにお金でしょう?"
このハッカーとその仲間は、後にLAPSUS$と名乗るグループの一員として、ゲーム出版大手エレクトロニック・アーツの社内システムに侵入し、膨大なデータを盗み出したのである。その中には、FIFAやEAのゲームエンジンFrostbiteのソースコード、仮想世界に群衆を発生させる方法に関する技術分解、EAがゲーム制作を効率化するために使用していたソフトウェア開発キットが含まれていました。
【関連記事】
osugi3y.hatenablog.com
ハッカーたちは、EAを脅してそのアクセス権を収益化しようとしたのです。しかし、彼らはショックなほど下手くそでした。彼らは誰に要求を送ればいいのかよくわからず、情報漏洩の件でEAと接触していたジャーナリストの私にパイプ役を依頼したのです。あまりにずさんな恐喝のため、後日、EAの広報担当者が私にハッカーと接触するよう依頼してきました。(私は両方の依頼を断った)。
このハッキング以来、LAPSUS$は、Nvidiaの内部システムを切り裂き、今年最も公に活動したハッキングおよび恐喝ギャングの1つになりました。サムスン マイクロソフト Ubisoftも同様と思われます。最も大胆なことに、LAPSUS$は、民間および政府機関の顧客のデジタルキーを扱うOktaに侵入し、ハッカーはそのアクセス権を活用して、Oktaの何百もの顧客をターゲットにする可能性がありました。
EAへの侵入はその初期段階であったとはいえ、その後のLAPSUS$の大規模なハッキングの象徴的な出来事でした。このグループは、地球上で最も大きなテクノロジーとゲーム会社の内部に潜り込むことができますが、実際に報酬を得ることになると、常に自分の足でつまずくのです。Nvidiaの強要では、LAPSUS$は同社に対し、グラフィックカードを暗号通貨の採掘に適したものにするよう要求しています。このグループは、身代金要求がないように見える場合でも、入手したデータをテレグラム・チャンネルで公開することに方向転換し、自分たちの宣伝に非常に巧みになっている。
このグループは、サイバーセキュリティ業界の一部の人々を混乱させ、また魅了しており、LAPSUS$は政府が支援するハッキンググループの隠れ蓑ではないかとの憶測さえある。しかし、LAPSUS$の公式声明、違反行為、セキュリティ専門家による技術分析、および主要メンバーが誰であるかを示す情報を調べると、SIMスワッピングやその他の比較的低レベルのハッキング技術の世界で定番となっている自由奔放なギャングによく似たメンバー像が浮かび上がってくるのです。今回、LAPSUS$が侵入したターゲットの種類によって、人々はより多くの注意を払うようになりました。この記事が掲載された直後の木曜日、英国警察は、この一味の一員と疑われる7人のティーンエイジャーを逮捕したと発表しました。
多くの場合、LAPSUS$は、企業のIT部門やカスタマーサポートなど、企業内部の人間の弱点を悪用します。また、デジタルアンダーグラウンドから既にハッキングされたログイントークンを購入するケースもあります。通常、サイバーセキュリティの専門家の中には、これらを低レベルの脅威と見なす人もいるかもしれません。しかし、ハッカーがセキュリティ・リスクであることを示す指標は、高度な技術だけではないのです。ハッカーの大胆さも同様です。
サイバーセキュリティ企業RecordedFutureの研究者であるAllan Liska氏は、オンラインチャットでMotherboardに、「従業員が『CEO』から200ドルのAmazonギフトカードを送るという依頼に引っかかる一方で、我々はしばしば0デイや先進国技術といったものについて多くを心配します」と述べています。"我々はリスクを理解し、そのリスクに見合った予防策をより良く講じる必要がある。"
ハッカーや調査員として、LAPSUS$について他に知っていることはありますか?この侵害または他の侵害について何かご存知ですか?ぜひご連絡をお待ちしています。仕事以外の電話やパソコンを使って、Joseph Coxに安全に連絡するには、Signalの+44 20 8133 5190、Wickrのjosephcox、または電子メール joseph.cox@vice.com にご連絡ください。
EAの後、LAPSUS$はブラジル保健省など、南米やポルトガルの企業や組織を次々とターゲットにした。2月には、LAPSUS$はVodafone Portugalにも侵入したことをほのめかしています。
この通信事業者を狙ったターゲットは、LAPSUS$のルーツと思われるSIMスワッピングの世界と重なります。これは、ハッカーがある人物に宛てたテキストメッセージや通話を、ハッカーが管理するSIMカードに迂回させ、パスワードリセットメッセージや多要素認証トークンにアクセスできるようにするものです。多くの場合、ハッカーはSIMスワッピングを利用してアカウントに侵入し、ビットコインを盗んだり、望ましいユーザー名を持つソーシャルメディアのアカウントを盗み出したりします。
osugi3y.hatenablog.com
現在、LAPSUS$の活動を分析する作業を主導しているセキュリティ研究者は、マザーボードに「関係者は、暗号通貨にアクセスするためにソーシャルエンジニアリング(SIMスワップを含む)を使ってアカウント乗っ取りを行う経歴を持っている」と語っています。Motherboardは、この研究者の匿名性を認め、この人はこの問題について報道機関に話す権限がないため、その雇用主を名乗らないことに同意しています。LAPSUS$は、南米の他の通信会社であるClaroとEmbratelも標的にしていた。サイバーセキュリティ企業のDarkOwlは、ハッカーがWindowsリモートデスクトップ(コンピューターを遠隔操作するためのツール)を使って、クラロ内部のマシンとやり取りしていることを見破った。マザーボードが以前に報告したように, SIMスワッパーは、通信事業者を騙してSIMを交換することから、ハッカーが通信事業者のネットワーク内部を物色することができ、同様のリモートアクセスツールをインストールするようにそれらをエスカレートしている. このグループはまた、英国の電話番号に対するEAハッキングの直後にスパムテキストメッセージキャンペーンを開始し、プライバシーに特化した暗号通貨Moneroでの支払いを要求しています。
"我々はLAPSUS$だ、我々の名前を覚えておけ、我々はお前のユーザーデータを持っている "と、DarkOwlが公開した7月2021日のメッセージに書いている。
このグループは、Genesis Marketplaceと呼ばれるアンダーグラウンドのウェブサイトなどから、盗まれたログイントークンも購入しているようです。これらのログイン・トークンやクッキーは、単純なユーザー名とパスワードよりも強力なものです。このクッキーは、ハッカーが盗んだアカウントにすでにログインしている状態でウェブブラウザを起動し、システムを騙して自分たちが正当なユーザーであると思わせることができるのです。彼らは、一般ユーザーがブラウジング・セッションにログインし続けるために持っているのと同じ種類のトークンを使っており、被害者のマスクに完全に似せているようなものです。
マイクロソフトが発表したLAPSUS$のテクニックの分析によると、LAPSUS$は他のSIMスワッパーよりもさらに進んでおり、一度侵入したら他のテクニックも使えるほどの技術力を持っているとのことです。その中には、パスワードを盗むソフトウェアを導入したり、パッチが適用されていない脆弱性を突いて、さらに多くの情報にアクセスすることも含まれています。
数ヶ月の間、LAPSUS$はサイバーセキュリティ業界にとって余興のようなものでした。3月初旬、このグループがグラフィックス・カード・メーカーのNvidiaに侵入したことをTelegramチャンネルで発表すると、状況は一変しました。
現在、LAPSUS$は2つのTelegramチャンネルを運営しています。1つ目は、グループのみが投稿できるチャンネルで、新たな侵入に関する詳細や、公開されたデータをダウンロードするためのリンクなどを共有しています。もう1つは、誰でも参加でき、メッセージを投稿できるチャットルームで、ジャーナリストも含まれるが、予想通り、その存在を知られると犬猿の仲になる。本稿執筆時点で、このチャンネルには10,680人以上のメンバーがおり、その多くは、TelegramやDiscord上の他の多くのハッキングコミュニティとは異なり、互いに悪口を言い合ったりミームを投稿したりして時間を過ごしています。LAPSUS$は、以前は独自のウェブサイトも持っていました。
Motherboardが取材した複数のセキュリティ研究者は、LAPSUS$がTelegramを使って侵害を公に発表するのは異常だと指摘した。「Lapsus$は注目されたいという異常な欲求を持っています。彼らのTelegramチャンネルで、次にどの被害者のデータをリークするか一般市民に投票を求めるのは典型的な例です」と、このグループの投稿を追っているサイバーセキュリティ企業SilentPushの情報チームのInês Vestiaは、Motherboardに電子メールで語った。
「また、そのようなアクセスを皆に知らせることを楽しんでいるようです。」と、サイバーセキュリティ企業MandiantのシニアプリンシパルアナリストであるJoshua Shilko氏は付け加えました。
しかし、SIMスワップ業者という文脈では、LAPSUS$の図々しさは全く理にかなっている。この種のグループや個人がターゲットに侵入する場合、しばしばTwitterで注意を喚起し、オンラインポストでライバルを愚弄し、Discordで他の人に媚びを売る。LAPSUS$はその延長線上にあるのですが、より大きな声です。多くの場合、影響力は重要です。そして、少なくとも恐喝を試みるグループとして、ハッカーが被害者をリストアップし、威嚇する公開サイトやTelegramチャンネルは、今や普通のことなのです。
EAに始まった行き当たりばったりの強要スタイルが、Nvidiaで復活しました。同社から盗んだデータを流出させた後、LAPSUS$はNvidiaに対し、暗号通貨の採掘に必要な能力を抑制するグラフィックカードの制限を解除するよう要求しました。予想通り、Nividiaはそのような変更を行わなかった。
Nvidia の情報漏えいの責任を主張したわずか数日後、LAPSUS$ は Samsung から盗まれたデータを流出させました。その後、マイクロソフトは、LAPSUS$が同社もハッキングしたという主張について調査していると述べ、このグループはマイクロソフトの検索エンジンBingとスマートアシスタントCortanaのソースと思われるものを投下しました。
「私たちの調査は、アカウントが侵害され、限定的なアクセスを許可されていたことを発見しました。当社のサイバーセキュリティ対応チームは、侵害されたアカウントを修復し、さらなる活動を防止するために迅速に対応しました」 Microsoftの広報担当者は、しばらくしてから声明の中でハッキングを確認したと述べています。
以前のハッキングが知名度の高いターゲットであったとすれば、Oktaへの侵入はLAPSUS$が実際に危険であることを意味する。Oktaは、企業や機関が労働者をシステムにログインさせるために使用する認証プロバイダです。LAPSUS$はOkta自体にアクセスし、少なくともいくつかのケースではターゲットのパスワードをリセットできることを示す内部スクリーンショットを投稿しました。Oktaは後に、数百人の顧客がこのハッキングに巻き込まれた可能性があることを認めた。
このハッキングを受けて、米国のサイバーセキュリティ・インフラストラクチャ・セキュリティ局(CISA)でさえ、「LAPSUS$に非常に注意を払っている」と述べ、このグループがロシア政府の隠れ蓑であるようには見えないとしたのです。
Twitterのバックエンドに侵入し、多くの著名なアカウントにアクセスした若いハッカー、似たようなことをしながら個人をターゲットにしたハッキング集団Chuckling Squad、あるいはFBIとDHSの職員のリストをダンプしたCrackas With Attitudeのように、サイバーセキュリティ業界は、給料日が実現しなかったり、少ないものであっても、友人や敵に見せびらかしたいためにクソに侵入しようとするだけのハッカーを貶める習慣をもっています。LAPSUS$は、その伝統の最新作です。
更新:この記事は、LAPSUS$に関与した疑いのある7人のティーンエイジャーが逮捕されたというニュースを含んで更新されました。
osugi3y.hatenablog.com
サイバーセキュリティのポッドキャスト「CYBER」を購読してください。当社の新しいTwitchチャンネルを購読してください。
