A Lapsus$ csoport 2020-ban került a kiberbiztonsági szakemberek radarjára, viselkedés és kommunikáció alapján egy teljesen új csoportról van szó. A kollektíva eleinte portugál nyelvű célpontokra összpontosított, tavaly decemberben megrohanta a brazil egészségügyi minisztériumot és a portugál Impresa médiacéget. Ezután jöttek a sorban a dél-amerikai telkók, így a Claro és az Embratel. Egyes esetekben szolgáltatásmegtagadással járó támadással tették elérhetetlenné a célpontok oldalait és szolgáltatásait, vagy más módon okoztak kellemetlenséget, a Localiza autóbérlő szolgáltatás weboldalát például egyszerűen átirányították egy felnőttoldalra.

A sikeres támadásoktól felbátorodva az argentin e-kereskedelmi platformok (MercadoLibre, MercadoPago) felé fordultak, majd jöttek a sorban a szalagcímekig is eljutó nagy fogások, az Nvidia, a Samsung, a Vodafone és az Ubisoft. Ez azt jelenti, hogy négy hónapon belül már a hetedik támadás köthető a Lapsus$ nevéhez, miközben a világ az orosz-ukrán háborúra figyel. Casey Bisson, a BluBracket termékigazgatója szerint a világban kialakult káosz egyben remek alkalom arra, hogy az eddig még kevésbé ismert és tapasztalt aktorok színre lépjenek.

A Lapsus$ eddig a szeszélyes és szokatlan jelzőkkel illethető, és azt az érzést kelti, hogy tehetséges, ám de tapasztalatlan emberek állnak a műveletek mögött, akik épp az erejüket próbálgatják. 

Ami jelentős különbég a csapat módszereiben, hogy nem titkosítják a megtámadott rendszereket, hanem „csak" ellopják az adatokat. A klasszikus ransomware csapatoktól eltérően nem telepítenek az áldozatok rendszereibe adattitkosító malware-t, az eddigi akcióik alapján az adatlopásra és a zsarolásra fókuszálnak. Az adatlopás során pedig válogatnak, és kifejezetten az érzékeny adatokat tartalmazó fájlokat lopják el. Ami a technikájukat illeti, adathalász módszerekkel szereznek az áldozatok rendszereihez hozzáférést. - foglalta össze a HWSW-nek Frész Ferenc, a Cyber Services alapító-vezérigazgatója, kiberbiztonsági szakember.

Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?

 A neves áldozatok miatt a Lapsus$ az elmúlt hetekben szinte folyamatosan szerepelt a hírekben, március elején például azzal, hogy betörtek a világ legnagyobb grafikusprocesszor-gyártójának számító Nvidia rendszerébe. A gyártó soha nem találkozhatott még olyan furcsa követelésekkel, mint amilyenekkel ezek a hackerek előálltak: a cégektől ellopott adatokért (dolgozók bejelentkezési adatai, levelezése, illetve üzleti titkokat tartalmazó más dokumentumok) a támadók cserébe rendszerint súlyos dollármilliókat követelnek, jelen esetben azonban ez legfeljebb közvetetten érvényesült. Az ultimátum szerint az Nvidia-nak olyan módosításokat kéne végeznie a videokártyáin, melyek segítségével az érintett típusok kriptobányász-teljesítménye lényegesen megnőne.

A Lapsus$ állítása szerint 1 terabájtnyi dokumentumot és forráskódot (grafikus processzorok tervrajzát, illetve eszközillesztő programok és alapkódok forráskódját) szerzett meg az amerikai cégtől, emellett a vállalat 71335 munkavállalójának bejelentkezési adataihoz is hozzájutott. A követelések középpontjában az áll, hogy a megszerzett adatállományt nem teszik elérhetővé harmadik fél részére a hackerek abban az esetben, ha a gyártó firmware-frissítés útján kiiktatja a GeForce RTX 30-as sorozatú videokártyák alapkódjába illesztett LHR (Lite Hash Rate) funkciót, vagyis azt a bányászlimitert, mely az érintett kártyák teljesítményét jelentős mértékben visszafogja, ha azokat kriptobányász célokra használják.

A hackerek ezeken felül egy másik követeléssel is előálltak, így az Nvidia-nak az összes GPU-eszközmeghajtóját nyílt forráskódúvá kell tennie, különben a Lapsus$ maga hozza nyilvánosságra a driverek forráskódját, emellett a GeForce grafikus vezérlők tervrajzait és más üzleti titkokat is elérhetővé tesz a nyilvánosság számára. Az Nvidia hivatalos válasza szerint arra nincs bizonyíték, hogy zsarolóvírust is bevetettek.

A szakértők szerint a fenti követelések valójában annyira szokatlanok, esetenként komolytalanok, hogy azok nem is igazi követelések, hanem egy lényegesen nagyobb ívű, komolyabb célt szolgáló akciónak nyújtanak csupán fedősztorit. A zsarolóvírussal támadó hackercsoportok jellemzően haszonszerzés miatt, vagy politikai indíttatásból szorongatják célpontjaikat, a Lapsus$ motivációi viszont egyelőre homályosak, vagy legalábbis messzebbre nyúlnak. A csoport 30 ezer feliratkozóval rendelkező Telegram-csatornáján decemberben úgy fogalmazott: egyetlen célja a pénzszerzés lehet, nem áll mögötte politikai ideológia.

A kriptobányászaton lévő fókusz valamennyire sejteti, hogy a csoport mégsem közömbös a pénzügyek iránt.

A motivációjuk egyelőre nem ismert. Mivel nem használnak zsarolóprogramokat, hogy az áldozatoktól pénzt követeljenek, nem lehet kijelenteni, hogy kifejezetten a pénzszerzés lenne. Ugyanakkor a csapat, saját kijelentése alapján nem politizál és nem tartozik az államilag támogatott hekkerek közé. A kommunikációjuk az eddigi működésük alapján inkább szervezetlen fiataloknak tűnnek, akik felbuzdulva a kezdeti sikereken, egyre komolyabb és nemzetközibb célpontok felé veszik az irány. - fejtette ki Frész

A fiatal korosztály gyanúját tovább erősíti, hogy március 8-án a dark weben közzétették a csapat állítólagos tulajdonosának profilját, aki az adatok alapján egy 17 éves Egyesült Királyságban élő albán tinédzser lehet. A közzétett profilban szinte minden személyes adat szerepel, az online fórumokon, közösségi médiában használt profiloktól kezdve a szülők, rokonok személyes adatáig - tette hozzá Frész, aki Béres Katalin kiberbiztonsági elemzővel együtt figyeli a csoport tevékenységét és a velük kapcsolatban felbukkanó információkat.

Torrenten a Samsung érzékeny kódjai

Az Nvidia után a Samsungnak volt kellemetlen hete, szintén szigorúan titkos dokumentumok és belsős anyagok kiszivárogtatása miatt, ami óriási érvágást jelenthet a világ első számú okostelefon-gyártója számára. A Lapsus$ által megfújt adatok elsősorban olyan forráskódok, melyek a Samsung legfontosabb kulcstermékeinek, illetve azok egyes, elsősorban biztonsági funkcióinak működését határozzák meg. A teljes, körülbelül 190 gigabájtnyi kódot tartalmazó adatbázis így többek közt bootloader forráskódokat, illetve a biometrikus azonosításhoz használt algoritmusok és a Samsung termékaktiválási rendszerének forráskódját tartalmazza, emellett a Qualcomm egyes, a dél-koreai gyártó rendelkezésére bocsátott forráskódjai is szerepelnek a listán.

A három részre tördelt, összesen 190 gigabájtnyi adatcsomagot pár órával később már több százan seedelték az ismertebb torrentoldalakon. Ugyan a Samsung azt mondta, hogy a támadás az ügyfeleit nem érintette, de a cég biztonsági titkai már a riválosoknál lehetnek, akik az információkból versenyelőnyt kovácsolhatnak, vagy akár további támadásokat indíthatnak.

Nem sokkal később újabb áldozatról szóltak a hírek, a brit székhelyű Vodafone-tól 200 gigabájtnyi forráskódot fújt meg a Lapsus$. A hackerek a Telegram-csatornájukon meglehetősen szokatlan módon szavazást kezdeményeztek arról, hogy milyen adatok kerüljenek legközelebb nyilvánosságra. A Vodafone-tól ellopott 200 gigabájtnyi forráskód mellett a MercadoLibre és az Impresa adatai voltak az opciók. A március 13-án zárult szavazást magasan a nagy távközlési cég nyerte. A hackerek ahogy a Samsung és az Nvidia esetében, a Vodafone-nál sem álltak elő semmilyen értelmezhető követeléssel.

A Lapsus$-nak egyébként szokatlan mód nincs honlapja a dark weben, ahol az ellopott adatcsomagok mintáit közzétenné, helyette a zsarolóvírusos csoportokról eltérően Telegramot használ kommunikációra, itt landolnak a szavazások is arról, hogy melyik cégtől lopott adatokat osszák meg legközelebb, és a különböző hírekre is reagálnak.

Pár nappal később a francia játékfejlesztő- és kiadó Ubisoft csatlakozott a sorba, a cég közleménye szerint átmeneti kimaradás volt néhány játékban, szolgáltatásban, de a vizsgálatok alapján játékosok személyes adatait nem sikerült ellopni. Ezt a támadást is a Lapsus$ vállalta, természetesen a Telegram csatornán egy kacsintós emojival.

Mindez egy nappal azután, hogy a Lapsus$ Telegram-csatornán toborzó szöveget tett közzé arról, hogy milyen cégek belsőseivel szeretne együttműködni. A listán többek közt telekommunikációs cégeket, szoftver- és játékfejlesztő cégeket (Microsoft, Apple, IBM), callcentereket, szerverhosztokat neveztek meg, hozzátéve, hogy nem kimondottan adatokra van szükségük, hanem olyan belsősökre, akik VPN, Citrix, vagy más hálózati hozzáféréssel kapcsolatban tudnak nekik segíteni, ezért cserébe pedig akár fizetség is jár.

Négy hónap, hét áldozat

Eddig meglehetősen kevés részletet sikerült kideríteni a csoportról, a sejtések szerint dél-amerikai csoportról van szó. Egy olyan izgalmas elmélet is van, miszerint egyetlen ember áll mögötte, nem pedig több hacker. Az áldozatokat nézve messzemenő következtetéseket egyelőre nem lehet levonni Frész szerint azzal kapcsolatban, hogy kik lehetnek az újabb áldozatok a jövőben.

Az talán kicsit közelebb vihet, hogy az Nvidia feltörésekor többek között azt követelték a gyártótól, hogy távolítsák a Lite Hash Rate nevű, kriptobányászat elleni funkciót a GPU-iról. Ez és a csapat néhány kapcsolódó megnyilvánulása arra enged következtetni, hogy kriptobányászattal szeretnék erősíteni a portfóliójukat. Ebbe a feltételezésbe egyébként beleillik az újabb áldozatok profilja is.

Casey Bisson, a BluBracket szakértője szerint az áldozatok növekvő számával pedig a lebukás kockázata is nő. Példaként említi a REvil csoportot, melynek orosz tagjait év elején vették őrizetbe, miután összes tagját sikerült azonosítani. A REvil tavaly több száz amerikai céget támadott meg zsarolóvírussal, ami az USDA hírszerzési ügynökségeinek figyelmét is felkeltette, és feszültség forrásává vált Joe Biden és Vlagyimir Putyin közt. Frész szerint a LapSus$ hackerei szintén ott hibáznak, hogy rövid időn belül mentek rá nagy kaliberű célpontokra.

A történetből a cégek, szervezetek is levonhatnak pár tanulságot kiberbiztonság terén. A Lapsus$ által kivitelezett támadások a cégek szempontjából megerősítik azt tendenciát, hogy nagyobb hangsúlyt kell fektetni a dolgozók biztonságtudatossági oktatásaira, és rendszeresen ellenőrizni kell az oktatás hatékonyságát - emeli ki Frész. Ez alatt értendő a közösségi média tudatos használata, vagy hogy a céges email címüket, felhasználóneveiket, jelszavaikat semmiképp ne használják a privát profiljaikhoz.

A szakember azt tanácsolja, hogy ezen felül erősítsék meg, szükséges esetben vizsgálják felül a vonatkozó belső szabályozásokat és azokat tartassák is be. A policy kérdéskör a legtöbb esetben egyébként még mindig nagyon gyenge, leginkább a "legyen róla dokumentum" szintjén marad. Mindemellett természetesen ajánlott a sérülékenységek átfogó vizsgálata az informatikai rendszerekben.