Microsoft e LG: grupo Lapsus$ vaza supostos dados confidenciais de empresas no Telegram

Após ataques confirmados a Nvidia, Samsung, Vodafone, Ubisoft e Mercado Libre, a Microsoft e a LG podem ser as próximas a se juntarem ao time das grandes empresas violadas pelo grupo Lapsus$. Isso porque duas postagens recentes dos invasores alegam conter dados confidenciais de ambas as companhias.

No início da manhã de domingo (20), uma mensagem indicava uma suposta invasão ao servidor Azure DevOps da Microsoft. O grupo havia publicado uma captura de tela de supostos repositórios de códigos-fonte internos da companhia. Na segunda (21), a Microsoft afirmou estar investigando as alegações de vazamento de dados.

Imagem: Tecmasters

A captura de tela postada pelo grupo mostra um repositório Azure DevOps contendo o código-fonte da assistente virtual Cortana e vários projetos do Bing — “Bing_STC-SV”, “Bing_Test_Agile”, e “Bing_UX”. 

Imagem: Tom Malka

Na mesma captura, curiosamente o grupo de extorsão manteve as iniciais do usuário logado, “IS”, permitindo a companhia identificar rapidamente a conta comprometida e protegê-la. Entretanto, o detalhe pode ser proposital: significando que a companhia não tem mais acesso ao repositório ou seja apenas uma zombaria dos invasores.

Logo depois, o grupo retirou a postagem do ar e substituiu apenas por uma mensagem com os dizeres: “Deleted for now will repost later” (“Deletado por enquanto repostaremos depois” em tradução livre). Entretanto, pesquisadores em cibersegurança já haviam espalhado o post pelo Twitter. 

LAPSU$ next victim seem to be @Microsoft (?)@SOSIntel @LawrenceAbrams pic.twitter.com/X5FmgajJcz

— 🥷🏼💻Tom Malka💻🥷🏼 (@ZeroLogon) March 20, 2022

Imagem: Tecmasters

A empresa de softwares não confirmou se a conta do Azure DevOps foi violada, entretanto, afirmaram à BleepingComputer que estão cientes das reivindicações e que as investigações sobre o assunto estão em andamento.

Quão prejudicial é o vazamento dos códigos-fonte para Microsoft?

A Microsoft disse anteriormente que o vazamento de códigos-fonte não cria elevação de risco, de modo que o modelo de ameaça da empresa pressupõe que os atores já compreendam o funcionamento do software, seja usando engenharia reversa ou por vazamento de códigos-fonte anteriores.

A companhia chegou a explicar no passado como era a abordagem de código-fonte interno da empresa em um post no blog sobre o incidente envolvendo a SolarWind. “Na Microsoft, temos uma abordagem de código fonte interno — o uso de melhores práticas de desenvolvimento de software de código aberto e uma cultura de código aberto — para tornar o código fonte visível dentro da Microsoft. Isto significa que não confiamos no sigilo do código fonte para a segurança dos produtos, e nossos modelos de ameaça assumem que os atacantes têm conhecimento do código fonte”, explicou a Microsoft. “Portanto, ver o código fonte não está ligado à elevação do risco”.

Imagem: Microsoft Bing

Apesar da afirmação, repositórios de código-fonte também costumam conter tokens de acesso, credenciais, chaves API e até mesmo certificados de assinatura de código. A exemplo do vazamento de dados da Nvidia, a empresa havia incluído certificados de assinatura de código, dando a outros atores de ameaças chances de assinarem seus respectivos malwares. Ao usar o certificado da fabricante de GPUs, programas antivírus podem não detectar o executável como malicioso.

Embora a Microsoft tenha afirmado anteriormente sobre a política de desenvolvimento da empresa proibir “segredos” — chaves API, credenciais ou tokens de acesso — em seus repositórios de código-fonte, não significa, mesmo sendo o caso, que não haja outros dados confidenciais inclusos no código, como chaves de criptografia privadas ou outras ferramentas proprietárias.

“Pode ser uma boa ideia considerar uma nova equipe CSIRT”

Além da Microsoft, a LG, fabricante sul-coreana de eletrônicos, também foi visada pelo grupo Lapsus$. Um “lixo com todos os hashes de contas de funcionários e de serviços” foi liberado em formato .txt de quase 9 MB. No anúncio oficial, o grupo aproveitou para ridicularizar a empresa.

Imagem: Tecmasters

É a segunda vez que os hackeamos em menos de um ano.

Pode ser uma boa ideia considerar uma nova equipe CSIRT [grupo técnico responsável por resolver incidentes relacionados à segurança em sistemas computacionais].

Com informações da BleepingComputer e PCGamer