Microsoft ha confirmado el robo de código fuente de algunos de los servicios de la compañía tecnológica que se atribuyó hace unos días el grupo de ciberdelincuentes que se hace llamar LAPSUS$ y compartió a través de Telegram, tras lograr comprometer una de las cuentas de la compañía.
El pasado domingo, LAPSUS$ publicó una captura de pantalla a través de esta aplicación de mensajería en la que afirmaba haber accedido a los repositorios de Microsoft pirateando un servidor de Azure DevOps, un conjunto de herramientas destinado a los desarrolladores.
Entonces, el grupo de hackers aseguró haber sustraído el 90 por ciento de los datos de Bing Maps y el 45 por ciento de los datos pertenecientes al motor de búsqueda de Microsoft, Bing, y su Asistente, Cortana.
Esta filtración de datos se produjo después de que este mismo grupo de ciberdelincuentes se atribuyera el robo de varios certificados de firma electrónica de los desarrolladores de Nvidia y de información interna de Samsung.
En los últimos días, Microsoft ha observado actividad que se ha atribuido al grupo LAPSUS$, que la compañía rastrea como DEV-0537, y que es conocido por usar «un modelo de extorsión y destrucción sin implementar cargas útiles de ‘ransomware'», según ha indicado en un comunicado.
Tras investigar el ataque, el desarrollador de ‘software’ ha informado de que «ningún código de cliente o de datos estaba involucrado en las actividades observadas» y realizadas por DEV-0537.
Así, ha determinado que solo una de sus cuentas se ha visto comprometida y que sus equipos de seguridad pudieron limitar el ataque para evitar una mayor actividad por parte de los cibedelincuentes.
Y ha restado importancia al robo de código fuente. «Microsoft no depende del secreto del código como medida de seguridad y la visualización del código fuente no conduce a una elevación del riesgo», asegura en el comunicado.
Además, ha aclarado que el equipo encargado de proteger la seguridad de sus datos ya estaba investigando la cuenta comprometida «en base a inteligencia de amenazas» cuando LAPSUS$ reveló públicamente su intrusión a través de Telegram.
LA RÁPIDA EXPANSIÓN DE LAPSUS$
Por otra parte, Microsoft ha explicado cuál ha sido el recorrido que ha tenido este grupo, que comenzó a atacar a organizaciones de Reino Unido y América del Sur para expandirse después, así como algunos de sus «objetivos globales».
Entre estos objetivos están «incluidas organizaciones en los sectores de gobierno, tecnología, telecomunicaciones, medios, comercio minorista y atención médica».
No obstante, ha insistido en que DEV-0537 también ha atacado a usuarios anónimos en los intercambios de criptomonedas y ha mencionado algunos de los métodos que utiliza para poder introducirse en estos dispositivos.
Entre ellos destacan aquellas que incluyen ingeniería social basada en teléfonos, intercambio de SIM para facilitar la adquisición de las cuentas, acceder a correos electrónicos personales o pagar a proveedores y socios comerciales de las organizaciones objetivo para acceder a las credenciales y la aprobación de la autenticación multifactorial (MFA).
En su caso, el Centro de inteligencia sobre amenazas de Microsoft (MSTIC) ha determinado que el objetivo de DEV-0537 es tener acceso a sus datos a través de credenciales robadas y que se trata de un «actor motivado por el robo y la destrucción».
Asimismo, ha señalado que las tácticas, técnicas y procedimientos (TTP) de este grupo «cambian y evolucionan constantemente», ha detectado una serie de parámetros en su comportamiento para comprometer las identidades de los usuarios y obtener acceso libre a las diferentes organizaciones susceptibles de ser atacadas.
Entre estos métodos se encuentra la implementación del ladrón de contraseñas Redline, la compra de credenciales y tokens en foros ilegales, el pago a empleados de las organizaciones objetivo y su aprobación MFA, así como la búsqueda de repositorios de códigos públicos para contraseñas expuestas.
Una vez robadas estas credenciales, DEV-0537 accede a sistemas y aplicaciones que suelen incluir una red privada virtual (VPN), una infraestructura de escritorio virtual (VDI), como Citrix, o proveedores de identidad (incluidos Azure Active Directory y Okta).
Para las organizaciones que utilizan la seguridad MFA, DEV-0537 ha utilizado en otras ocasiones dos técnicas para burlar su sistema de seguridad: la reproducción de tokens de sesión y el uso de contraseñas robadas.
Mediante este hurto, ha sido capaz de activar el envío de avisos de MFA para que los usuarios legítimos de las cuentas comprometidas, ignorantes de la manipulación de este sistema de autenticación, otorgaran la autorización necesaria.
En algunos casos, LAPSUS$ ha accedido a las cuentas personales de las víctimas y les ha dado instado a introducir credenciales adicionales que pudiesen ser utilizadas para acceder a los sistemas corporativos o sus cuentas profesionales.
Dado que los empleados generalmente usan estas cuentas personales como segundo factor de autenticación o recuperación de sus contraseñas, el grupo de atacantes ha utilizado estos accesos para resetearlas y completar el sistema de recuperación de cuentas con otras credenciales nuevas.
Otros de los métodos habituales de los ciberdelincuentes es el soborno a empleados, proveedores o socios comerciales de una organización que, por una tarifa determinada, proporcionan sus credenciales y aprueban la autenticación multifactor.
Asimismo, también les ha ofrecido la opción de descargar e instalar en sus equipos aplicaciones de control remoto, como AnyDesk, que les permitiese controlar el sistema.
En otro de los ataques observados, Microsoft ha destacado que los actores de DEV-0537 realizaron un ataque de intercambio de tarjetas SIM para acceder al número de teléfono de un usuario antes de iniciar sesión en su red de trabajo o corporativa.
Este método permite a los actores manejar las solicitudes de autenticación telefónicas que necesitan para obtener acceso a una organización. Por ello, una vez se obtuvieron las credenciales de usuario estándar o el acceso, los atacantes eran capaces de acceder al sistema VPN de estas organizaciones.
Para sortear los sistemas de seguridad, en algunos casos, DEV-0537 se unió su sistema al servicio de administración de acceso e identidades basado en la nube, Azure Active Directory (Azure AD) las corporaciones atacadas.
Por último, Microsoft ha destacado que, en sus investigaciones, ha comprobado que LAPSUS$ usa AD Explorer, una herramienta gratuita y de acceso libre, en la mayoría de sus ataques.
Se trata de un indicador que permite visualizar, editar y navegar por las bases de datos, que los ciberdelincuentes habrían utilizado para enumerar y reconocer a cada uno de los usuarios de las redes atacadas.
Gracias a ella, pueden comprender cuáles son las cuentas que disponen de mayores privilegios, como las de los directivos o administradores de estas empresas.
Además, procedieron a buscar plataformas de colaboración como SharePoint o Confluence, soluciones de seguimiento de problemas como JIRA, repositorios de código como GitLab y GitHub, y canales de colaboración de organizaciones como Teams o Slack para descubrir más credenciales y datos para acceder a información confidencial.