美國國土安全部本周發表了有關Lapsus$駭客組織的網路安全審查委員會(Cyber Safety Review Board,CSRB)報告,指出Lapsus$駭客組織其實只利用了許多簡單的技倆就入侵了數十家的知名企業,包括社交工程、SIM卡挾持、招募線人、向IAB(Initial Access Brokers)業者購買憑證,只有少數時候會針對已知漏洞展開攻擊。此一CSRB報告亦列出了防範Lapsus$與相關手法的多項建議。

Lapsus$活躍於2021年底至2022年,從微軟、三星、Nvidia、T-Mobile、Uber到身分認證管理業者Okta,都是該駭客組織的受駭者,Lapsus$並未於受害企業植入勒索軟體,僅是竊取這些企業的機密資料或原始碼,再以外洩這些資料作為威脅,向受害者勒索。Lapsus$據傳主要是由青少年組成,英國警方曾在去年逮捕了7個與Lapsus$駭客組織有關的嫌犯,他們的年紀介於16歲到21歲之間,而首腦現年只有17歲。

可能由於還不那麼專業,Lapsus$在入侵企業之後所寄出的勒索信函,還曾直接被忽略。

根據CSRB報告,Lapsus$使用的入侵技倆相對簡單,例如透過社交媒體蒐集受害企業員工的個資,再偽裝其身分,或是採用網站、語音或簡訊等網釣攻擊;也常採用SIM卡挾持,同樣是先蒐集目標對象的公開資料,再向電信業者要求同樣號碼的新SIM卡,之後即可利用該號碼來接收雙因素認證資料;還會以金錢賄賂企業員工,使其幫忙駭進自家公司,或是成為駭客的線人,例如取得電信系統的存取權,以利展開SIM卡挾持;更方便的是在黑市向IAB業者購買服務存取憑證。

在少數情況下Lapsus$會攻擊已知漏洞來滲透目標企業,根據資安專家的觀察,Lapsus$從未使用過零時差漏洞。

Lapsus$多次的成功攻擊讓CSRB發現,這主要是因為受害企業並未考量到,採用文字簡訊或語音通話作為多因素身分認證的風險,因而呼籲應儘速遷移到更安全、更容易使用,也更不需要密碼的解決方案,同時也建議電信業者應該採用更嚴謹的身分認證方式來保護客戶,並要求美國聯邦通訊委員會(FCC)及美國聯邦交易委員會(FTC),應制定對抗SIM卡挾持的最佳實踐,將其標準化且強制執行。

CSRB是在美國總統拜登(Joe Biden)的指示下,由美國國土安全部部長Alejandro Mayorkas在2022年2月所設立,它集結了數十位來自產、官、學界的資安專家,主要的任務為共同釐清重大的資安事件並提出建議。

熱門新聞

Advertisement