NVIDIA, Samsung, Mercado Libre y ahora Microsoft. La compañía investiga si ha sido hackeada por parte de LAPSUS$ después de que el grupo publicara había accedido a sus servidores con acceso al código fuente de Bing y Cortana. El proveedor de servicios de autenticación, Okta, también habría sido atacado.
Como en anteriores ocasiones, LAPSUS$ ha publicado en un grupo de Telegram la descarga de un archivo .torrent de 9 GB con acceso al fichero que contiene parte del código fuente de Bing y Cortana. Aunque inicialmente algunos se han mostrado incrédulos dado que se trata de una captura de pantalla, los antecedentes de LAPSUS$ han puesto en alerta a Microsoft.
Hasta el momento, la compañía no ha confirmado este ataque ni el alcance que podría tener, si bien está llevando a cabo una investigación para comprobar la veracidad del ataque y las posibles consecuencias.
Sin embargo, la forma de actuar de este grupo parece indicar que el ataque podría ser cierto. Y, es que, a diferencia de otros grupos que implementan ransomware en los dispositivos de sus víctimas, LAPSUS$ prefiere apuntar a los repositorios de código fuente de las grandes tecnológicas para después robar sus datos y pedir un rescate multimillonario.
Si bien no está claro cuánto han podido conseguir con estos intentos de rescate, lo cierto es que este grupo de ciberdelincuentes ha conseguido que su nombre esté muy presente en los últimos meses tras atacar a grandes firmas como NVIDIA, Samsung, Vodafone, Ubisoft y Mercado Libre.
Aunque el grupo ya lleva tiempo actuando, parece que ha sido ahora cuando ha intensificado sus esfuerzos con nuevos y potentes ataques. De confirmarse que Microsoft ha sido hackeada, sería un nuevo golpe para las compañías tecnológicas ya que lo habría hecho pirateando el servidor Azure DevOps de la firma de Redmond.
Dudas en el ataque a Microsoft
En la publicación de la captura de pantalla de los repositorios internos del código fuente en Telegram se puede ver la imagen de un repositorio de Azure DevOps. En él se aprecia el código fuente de Cortado y otros proyectos de Bing como Bing_STC-SV, Bing_Test_Agile, y Bing_UK.
Un aspecto que ha llamado la atención es que en esa imagen no se han ocultado las iniciales “IS”, quizá para dar a conocer la identidad de la cuenta comprometida de uno de los empleados de Microsoft. Si bien este punto no ha sido confirmado.
De hecho, esta publicación se eliminó rápidamente, aunque estuvo visible el tiempo suficiente para que se guardara y se compartiera por miles de usuarios. Se especula que podrían haber eliminado esta imagen porque develaba más información de la que se pretendía inicialmente.
El ataque de Microsoft sería diferente al que LAPSUS$ realizó contra NVIDIA, donde los ciberdelincuentes utilizaron certificados de firma de código que habían obtenido para distribuir malware. En ese caso, el grupo de hackers amenazó con publicar cerca de 1 Terabyte de datos de la compañía y no liberaba los drivers de sus GPU para minar criptomonedas.
En el caso de Microsoft, se supone que los ciberdelincuentes conocen cómo funciona el software ya que utiliza un modelo similar al de código abierto que hace que ese código fuente sea visible dentro de la compañía.
A la espera de que Microsoft se pronuncie sobre este hecho, lo que está claro es que todas las señales indican que LAPSUS$ seguirá con su actividad después de conocerse que están buscando reclutar empleados de grandes empresas para su organización. ¿Lo estarán consiguiendo con estos ciberataques?
Okta, la última víctima
De nuevo capturas de pantalla en su canal de Telegram asegurando que se trata del entono interno de Okta donde se muestran tickets internos y chats de Slack. Así ha reivindicado LAPSUS$ su último ciberataque hace apenas unas horas.
Okta, que cuenta con más de 100 millones de usuarios, ha publicado un comunicado apuntando que está investigando este incidente y anunciando que ofrecerá actualizaciones a medida que cuenten con más información disponible.
No obstante, el CEO de Okta, Todd McKinnon, ha avanzado a través de un tuit que el incidente no está relacionado con un nuevo ciberataque, sino con un problema anterior.
De hecho, a finales de enero, Okta detectó un intento de hackear una cuenta de un ingeniero de la compañía, pero se pudo detener la amenaza. Para McKinnon, las capturas de pantalla publicadas estarían relacionadas con este intento de hackeo y no con uno nuevo que haya tenido éxito.
Habrá que esperar a las investigaciones para arrojar luz sobre este nuevo caso de ataque de LAPSUS$ aunque, teniendo en cuenta el historial del grupo, muchos ya apuestan por su veracidad y las consecuencias que podría tener..