微軟承認被黑客竊取資料
本文已影響9.88K人
本文已影響9.88K人
微軟承認被黑客竊取資料,黑客組織Lapsus$聲稱曾入侵過英偉達、三星等公司,本週又表示入侵了微軟。微軟堅稱,泄露的代碼還沒有嚴重到導致風險上升的程度,微軟承認被黑客竊取資料。
微軟承認被黑客竊取資料1
美國當地時間週二,微軟發佈博文證實,經過調查後發現,該公司產品的部分源代碼被黑客竊取,並披露了發動襲擊的黑客組織的老底。
微軟在博文中稱,此次黑客襲擊由名爲DEV-0537的黑客組織發動,它也被稱爲Lapsus$。該組織以使用純粹的勒索和破壞模型而聞名,而不是部署勒索軟件。Dev-0537開始以英國和南美公司爲目標,後來擴展到全球目標。同時,該組織還會侵入虛擬貨幣交易所的個人用戶賬戶,以竊取虛擬貨幣。
與大多數黑客組織不同的是,DEV-0537似乎沒有掩蓋自己的蹤跡。
他們甚至公開宣揚自己對社交媒體發動攻擊,以及從目標公司員工那裏購買憑證等內幕。Dev-0537還使用了微軟所追蹤其他黑客較少使用的幾種策略,包括基於電話的社交工程(Social Engineering),比如SIM交換以促進帳戶接管、訪問目標公司員工的個人電子郵件帳戶、向目標公司的員工、供應商或業務合作伙伴付錢以獲得訪問憑證和多因素身份驗證(MFA)批准的權限等。
DEV-0537的黑客專注於他們的社交工程努力,以收集關於襲擊目標的商業運營信息。這些信息包括有關最終用戶、團隊結構、幫助臺、危機應對工作流程和供應鏈關係的深入知識。這些社交工程策略的例子包括用多因素身份驗證(MFA)提示向目標用戶發送垃圾郵件,以及致電公司的幫助臺以重置目標的憑證。
微軟威脅情報中心(MSTIC)評估稱,DEV-0537黑客的目標是通過被盜憑證獲得更高的訪問權限,這些憑證允許其針對目標公司進行數據盜竊和破壞性攻擊,然後進行敲詐勒索。戰術和目標表明,DEV-0537是個以竊取和破壞爲動機的網絡犯罪組織。
微軟發現,在某些情況下,DEV-0537首先瞄準並侵入個人或私人(與工作無關)帳戶,允許他們訪問,然後尋找可用於訪問公司系統的其他憑證。鑑於員工通常使用這些個人帳戶進行他們的第二因素身份驗證或密碼恢復,DEV-0537黑客經常使用這種方法來重置密碼,並完成帳戶恢復操作。
微軟還發現,DEV-0537通過招聘目標公司(或其供應商、業務合作伙伴)員工成功地獲得訪問權限。該組織發佈廣告稱,他們想爲襲擊目標公司購買憑證,以此吸引員工或承包商參與其中。自願參與的共犯必須提供他們的憑證並批准MFA,或者讓在公司工作站上安裝AnyDesk或其他遠程管理軟件,從而允許黑客控制經過身份驗證的系統。
當DEV-0537使用被攻破的帳戶獲得對目標公司網絡的訪問權限後,他們就會使用多種策略來發現其他憑證或入侵點來擴展其訪問權限。然後,他們繼續搜索SharePoint或Confluence這樣的協作平臺,像JIRA這樣的問題跟蹤解決方案,像GitLab和GitHub這樣的代碼庫,以及像Team或Slack這樣的辦公協作渠道,以進一步發現訪問其他敏感信息的高權限帳戶憑證。
Dev-0537還會利用Confluence、JIRA和GitLab中的漏洞進行權限提升。該組織危害了運行這些應用程序的服務器,以獲取特權帳戶的憑證或在所述帳戶中運行,並從那裏轉儲憑證。獲得域管理員訪問權限或同等訪問權限後,Dev-0537會使用內置的Ntdsutil實用程序提取AD數據庫。
在某些情況下,DEV-0537甚至致電目標公司的服務檯,試圖說服支持人員重置特權帳戶的憑證。該組織會使用之前收集的信息(例如個人資料),並讓母語爲英語的呼叫者與服務檯人員交談,以增強其社交工程的吸引力。由於許多公司將他們的服務檯支持外包,這種策略試圖利用這些供應鏈關係,特別是在公司賦予服務檯人員提升特權能力的情況下。
微軟發現,DEV-0537擁有專用的基礎設施,他們在已知的虛擬專用服務器(VPS)提供商中運行,並利用NordVP N作爲其出口點。
如果成功獲得了對目標組織雲服務(AWS或Azure)的特權訪問權限,DEV-0537會在組織的雲實例中創建全局管理員帳戶,設置Office 365用戶級別的郵件傳輸規則,將所有進出公司的郵件發送到新創建的帳戶,然後刪除所有其他全局管理員帳戶,因此只有黑客才能控制雲資源,從而有效地將公司鎖定在所有訪問之外。
同時,DEV-0537黑客還會加入目標公司的危機溝通電話會議和內部討論板(Slack和Teams等),瞭解事件響應工作流程及其對策,這爲DEV-0537提供了對入侵目標心理狀態的洞察,以便發起敲詐勒索。在某些情況下,DEV-0537勒索受害者以防止被盜數據泄露。其他時候,即使沒有進行敲詐勒索,DEV-0537也公開泄露了他們竊取的數據。
本週,DEV-0537公開聲稱,他們已經獲得了微軟的訪問權限,並泄露了部分產品的源代碼。微軟表示,泄露的數據沒有涉及客戶代碼,而且只有一個賬戶被攻破,讓黑客獲得了有限的訪問權限。微軟網絡安全響應團隊迅速介入,修復了受攻擊的帳戶並防止進一步的黑客攻擊。
微軟表示,該公司不依賴代碼的保密性作爲安全防護措施,查看其源代碼不會導致風險上升。在這次入侵中,DEV-0537就使用了上述戰術。當黑客公開披露他們的入侵行動時,微軟的團隊已經在根據威脅情報調查被泄露的賬戶。黑客的公開披露使微軟的行動升級,允許團隊在操作過程中進行干預和中斷,限制了更廣泛的襲擊影響。
爲了避免受到類似黑客襲擊影響,微軟建議加強實施多因素身份驗證(MFA)。雖然DEV-0537依然試圖找出MFA的漏洞,但它仍然是確保員工、供應商和其他人員身份安全的關鍵支柱。此外,微軟建議用戶使用可信、合規且健康的設備訪問資源,加強並監控雲服務安全,提高對社交工程攻擊的認識,並建立應對DEV-0537入侵的運營安全流程。
微軟承認被黑客竊取資料2
據鳳凰網科技消息,微軟公司在週二晚間證實,經過調查後發現,一些公司產品的部分源代碼被黑客盜取。
黑客組織Lapsus$聲稱曾入侵過英偉達、三星等公司,本週又表示入侵了微軟。Lapsus$發佈了一份文件,稱其中一個容量近37GB的數據存檔中包含了必應和語音助手“小娜”(Cortana)的部分源代碼。
微軟將Lapsus$稱之爲DEV-0537,表示它入侵了“一個單一賬戶”,並竊取了部分產品的源代碼。微軟安全網站上的一篇博文稱,微軟調查人員已經跟蹤Lapsus$組織有數週時間,並詳細介紹了他們用來破壞受害者系統的一些方法。微軟堅稱,泄露的代碼還沒有嚴重到導致風險上升的程度,其響應團隊在應對過程中將黑客拒之門外。
早些時候,Lapsus$團伙在他們的Telegram頻道上發佈了一張截圖,表示他們入侵了微軟Azure DevOps服務器,其中包含Bing、Cortana和其他各種內部項目的源代碼。
週一晚上,這個黑客組織發佈了一份9gb 7zip壓縮包的種子文件,其中包含了他們聲稱屬於微軟的250多個項目的源代碼。相關關人士稱,這個未壓縮的存檔文件大約有37GB。
Lapsus$說它包含了90%的Bing源代碼,大約45%的Bing Maps和Cortana代碼。
Lapsus$是一個數據勒索黑客組織,他們不會在受害者的設備上安裝勒索軟件。但是他們通過破壞公司系統,竊取源代碼、客戶名單、數據庫和其他有價值的數據。然後,他們試圖以贖金勒索受害者,要求不公開泄露數據。
在過去的幾個月裏,Lapsus$已經披露了大量針對大公司的網絡攻擊,其中包括已證實的針對英偉達、三星、沃達豐(Vodafone)、知名遊戲廠商育碧(Ubisoft)和在線商務平臺Mercado Libre的網絡攻擊。
與此同時,不久前,黑客組織Lapsus$在其Telegram頻道上發佈了自稱是Okta內部系統的截圖,其中一張似乎顯示了Okta的Slack頻道。Okta 是一家爲數千家公司和組織提供雙重身份驗證的'公司,包括 JetBlue、Nordstrom、Siemens、Slack 和 Teach for America。如果確實攻擊成功,將對依賴Okta來驗證用戶訪問內部系統的公司、大學和政府機構產生重大影響。
目前還不清楚威脅行爲者是如何侵入這些存儲庫的,但一些安全研究人員認爲,他們付錢給企業內部人士以獲取訪問權限。
微軟表示,他們正在調查Lapsus數據勒索黑客組織入侵其內部Azure DevOps源代碼庫並竊取數據的指控。
雖然源代碼泄露讓公司軟件漏洞更容易被發現,但微軟之前曾表示,源代碼泄露並不會增加風險。
微軟表示,他們的威脅模型假設,無論是通過逆向工程還是之前的源代碼泄漏,威脅參與者已經瞭解了他們的軟件是如何工作的。
“在微軟,我們有一種內部源代碼的方法——使用開源軟件開發的最佳實踐和一種類似開源的文化——使源代碼在微軟內部可見。這意味着我們不依賴於源代碼的保密來保證產品的安全,我們的威脅模型假設攻擊者瞭解源代碼,”微軟在一篇博客文章中解釋說,SolarWinds的攻擊者獲取了他們的源代碼。
“因此,查看源代碼並不會增加風險。”
即使是這樣,也不意味着源代碼中沒有其他有價值的數據。源代碼存儲庫通常還包含訪問令牌、憑證、API密鑰,甚至代碼簽名證書等。
全球網絡攻擊行爲的確在增加,日益氾濫的黑客入侵已成爲全球信息安全的重要挑戰,如何有效保護企業的信息安全成爲安全公司以及企業要思考的問題之一。
微軟承認被黑客竊取資料3
微軟公司在週二晚間證實,經過調查後發現,一些公司產品的部分源代碼被黑客盜取。
週一晚上由“Lapsus$”黑客組織發佈,一個 9GB 的壓縮包可供外接下載。據說此壓縮包中有微軟公司 250 多個內部項目。其中含有 90% 的 Bing 源代碼以及大約 45% 的 Bing Maps 和 Cortana 源代碼。
據稱,這些數據來自微軟的 Azure DevOps 服務器。
週日清晨,Lapsus$ 在其 Telegram 頻道上發佈了一張屏幕截圖,顯示他們已闖入了微軟的 Azure DevOps 服務器,該服務器含有 Bing、Cortana 及其他衆多內部項目的源代碼。
安全研究人員稱,未壓縮的 37 GB 集合似乎確實是微軟公司的源代碼。一些項目還包括供微軟工程師發佈應用的電子郵件和文檔。這些項目面向基於 Web 的基礎設施、網站或移動應用程序,沒有微軟桌面軟件(包括 Windows、Windows Server 和 Microsoft Office)的源代碼。
微軟表示,它知道該組織的行爲,並正在積極調查所謂的入侵和泄密。
微軟將 Lapsus$ 稱之爲 DEV-0537,表示它入侵了“一個單一賬戶”,並竊取了部分產品的源代碼。微軟安全網站上的一篇博文稱,微軟調查人員已經跟蹤 Lapsus$ 組織有數週時間,並詳細介紹了他們用來破壞受害者系統的一些方法。
微軟堅稱,泄露的代碼還沒有嚴重到導致風險上升的程度,其響應團隊在應對過程中將黑客拒之門外。
此前報道稱,Lapsus$ 獲得了英偉達 1TB 的數據,包括驅動程序、原理圖或固件信息,還獲得了三星 Galaxy 設備操作相關的源代碼。這些入侵盜取資料行爲已被英偉達、 三星官方證實。
身份認證公司 Okta 則表示,檢測到有人企圖破壞一個第三方客戶支持工程師賬戶。Lapsus$ 則聲稱沒有訪問或獲取 Okta 本身的數據,而是獲得了其客戶的數據,包括 Cloudflare、Grubhub、Peloton、Sonos、T-Mobile 和雅虎。
陳喬恩承認戀情 男方艾倫身份黑歷史被扒
王思聰被指開房未果及抹黑女星 微博否認
宋承炫個人資料 宋承炫首度大方承認女友
馬龍公開承認戀情 馬龍女友夏露私照個人資料
小S承認遭家暴 小S老公許雅鈞個人資料
老公有外遇不承認怎麼辦 老公有外遇不承認是什麼意思
承認整容算什麼?這些女星連隆胸都承認了!
唐人街探案2陳英是誰演的 扮演者劉承羽個人資料微博介紹
張嘉倪承認二胎怎麼回事 張嘉倪老公是誰個人資料介紹
李誕女朋友黑尾醬是誰 黑尾醬個人資料身高年齡微博圖片介紹
馬麗男友許文赫個人資料家庭背景微博 兩人怎麼認識的
創造營餘承恩是誰 餘承恩個人資料身高年齡介紹
A妹男友承認訂婚怎麼回事 A妹男友資料介紹
HBO遭黑客襲擊被公開的資源有哪些 權力的遊戲資源公開
NVIDIA把勒索軟件黑客黑了
素顏盜竊未被認出:只因盜竊時時素顏出鏡
教資認定需要什麼資料
張陸否認出軌 張陸個人資料微博和邵思涵離婚了嗎
微妙通訊以197 億美元被微軟收購
澳軍30G資料遭黑客竊取 黑客竊取的信息包括哪些內容介紹
戀夢空間餘思婭爲何遭黑被罵綠茶 餘思婭個人資料黑歷史爆料
卡迪B承認曾下藥竊取財物 當脫衣舞娘時只是討生活
巴菲特被曝趕在微軟前斥資10億抄底動視暴雪
攻守道劉承羽是誰 攻守道劉承羽個人資料微博
英偉達被黑客攻擊後反手把黑客黑了
鍾嘉欣承認已結婚 鍾嘉欣老公Jeremy資料照片曝光
抖音黑黑黑的夜是誰唱的歌名 抖音花姐個人資料微博詳細介紹
許志安被取消資格怎麼回事 許志安被取消資格背後原因是什麼
抖音黑暗蘿莉是誰 黑暗蘿莉照片個人資料微博介紹
張馨予承認牀照否認坐檯:照片中客人是發小
蘋果前主管被控竊取並泄露商業機密
夢見盜竊偷竊扒竊有什麼徵兆
大張偉承認結婚 大張偉老婆劉迎個人資料照片揭祕