El grupo hacker Lapsus$ se está convirtiendo en una pesadilla para las grandes empresas tecnológicas. Tras los ciberataques a Nvidia, Samsung, MercadoLibre o Ubisoft ahora afirman haber robado buena parte del código fuente de Cortana, Bing y Bing Maps.
En Microsoft han declarado que están al tanto del anuncio de Lapsus$ y sus responsables indicaban en The Register que "estamos investigando" los hechos. Este grupo de ciberdelincuentes ha indicado que también ha logrado acceder a datos de LG y de Okta, un proveedor de identidad de Cloudflare.
Un robo de código masivo, pero aparentemente incompleto
En un mensaje de Lapsus$ en un grupo de Telegram este fin de semana se ofrecía la descarga de un archivo .torrent que daba acceso a ese fichero con parte del código fuente Bing Maps, Cortana y Bing.
BREAKING
— Dominic Alvieri (@AlvieriD) March 20, 2022
Microsoft allegedly breached.@campuscodi @vxunderground #cybersecurity #infosec @Microsoft pic.twitter.com/FAYl9Y29QT
Varios mensajes en Twitter de expertos en ciberseguridad que habían accedido a esos datos parecían confirmar la brecha de seguridad. De confirmarse, Microsoft sería una víctima más de un grupo hacker que parece tener su base de operaciones en Brasil.
El experto en ciberseguridad Dominic Alvieri, que fue uno de los primeros en avisar del suceso, indicaba que aunque "normalmente no darías credibilidad a una captura de pantalla, pero Lapsus$ ha logrado infiltrarse en Samsung, Impresa, Mercado Libre, Ubisoft y Nvidia". Según su opinión la afirmación de Lapsus$ "parece creíble hasta el momento y la reputación [de Microsoft] está en juego".
Lapsus$ ha robado y publicado el código fuente de Cortana, Bing y Bing Maps durante esta madrugada pic.twitter.com/eODmP2koTK
— Fahd Afwallah (@SrFahd) March 22, 2022
El mensaje de Lapsus$ en el grupo de Telegram indicaba que ese fichero torrent daba acceso al 90% del código de Bing Maps, y a cerca de un 45% del código de Bing y Cortana. No es por tanto el código completo de todos estos proyectos, pero sí es una parte importante de esa información.
Según BleepingComputer el fichero en formato 7zip que se descarga tiene un tamaño comprimido de 9 GB, y al descomprimirlo se generan varias carpetas con un tamaño total de 37 GB.
En ellas aparentemente hay código de los citados proyectos, pero también de correos electrónicos y documentación interna de ingenieros de Microsoft y que fue utilizada para publicar aplicaciones móviles.
Lapsus$, El terror de las grandes tecnológicas
Los miembros de Lapsus$ tenían hasta no hace mucho un perfil bajo: eran conocidos por infiltrarse en medios de noticias como SIC Noticias o Expresso o en el Ministerio de Sanidad de Brasil, pero todo cambió en febrero.
Fue entonces cuando lograron infiltrarse en la red de NVIDIA y robaron un terabyte de datos, incluyendo información de los empleados. Publicaron parte de esa información, y unos días después atacaron a Samsung y robaron 190 GB de datos internos, incluyendo partes del código fuente de sus móviles Galaxy.
Una de sus últimas víctimas ha sido aparentemente Ubisoft, y también se habla de cómo podrían haber logrado infiltrarse en Vodafone y robar 200 GB de código fuente. Los responsables de la operadora también indicaron que estaban investigando los hechos hace pocos días.
El ciberataque a Microsoft parece de hecho solo parte de sus últimas ciberincursiones. En el mismo canal de Telegram indicaban que habían logrado infiltrarse en LG Electronics y ofrecían una copia de los "hashes" de las cuentas de empleados que los identifican de forma unívoca. Prometían además publicar un fichero con más información interna de la empresa.
También parecen haber logrado credenciales de superusuario de Okta.com, un servicio que proporciona sistemas de autenticación a grandes corporaciones, entre las cuales está Cloudflare.
We are aware that @Okta may have been compromised. There is no evidence that Cloudflare has been compromised. Okta is merely an identity provider for Cloudflare. Thankfully, we have multiple layers of security beyond Okta, and would never consider them to be a standalone option.
— Matthew Prince 🌥 (@eastdakota) March 22, 2022
El CEO de esta última, Matthew Prince, admitía hace unas horas que existía esa posibilidad, aunque aclaraba que tienen varias capas adicionales de seguridad y que no había pruebas de que Cloudflare "se hubiese visto comprometida".
Imagen | Markus Spiske
Ver 11 comentarios