Lapsus$, los hackers que han robado de Bing y Cortana a Microsoft: la compañía lo confirma
El grupo cibercriminal también han sido los responsables de los ataques a otras conocidas como Samsung o Nvidia.
El domingo pasado, el grupo de ciber-extorsión LAPSUS$ publicó en su canal de Telegram una captura de pantalla de lo que parecía ser una cuenta interna de desarrolladores de Microsoft. La captura de pantalla parecía ser de una cuenta de Azure DevOps, un producto que Microsoft ofrece y que permite a los desarrolladores colaborar en proyectos.
Los proyectos específicos que se mostraban en la captura de pantalla incluían
- "Bing_UX", que podría referirse a la experiencia de usuario del motor de búsqueda Bing de Microsoft
- "Bing-Source", que indica el acceso al código fuente del motor de búsqueda
- "Cortana", el asistente inteligente de Microsoft
- “mscomdev", "microsoft" y "msblox", lo que indica que quien tomó la captura de pantalla puede tener acceso a otros repositorios de código también.
Pero, ¿era esto verdad? Lapsus$ ha sido capaz no sólo de ciberatacar con éxito las infraestructuras del gigante de la Informática, sino además de robarles material? Hace unos días, Microsoft comenzaba una investigación interna para confirmar. Y hoy, ha emitido un comunicado reconociendo no sólo que ha sido víctima de un ciberataque, como Lapsus$ clamó, sino que además le han robado elementos del código fuente del buscador Bing y el asistente Cortana -nombrado así en honor al personaje de la franquicia de juegos Halo.
Lapsus$
¿Quién es Lapsus$? Este grupo de piratas informáticos ha conseguido vulnerar varias empresas de renombre recientemente, pero no es el típico grupo que persigue sólo dinero usando tácticas de ransomware -secuestra sistemas y los libera a cambio de dinero. En ocasiones, LAPSUS$ exige a sus víctimas un rescate inusual, como pedir a Nvidia que desbloquee aspectos de sus tarjetas gráficas para hacerlas más adecuadas para el minado de criptomonedas. Hasta el momento, el grupo no ha realizado ninguna demanda pública contra Microsoft.
Lo curioso es que este ataque contra Microsoft no ha sido precisamente sorpresivo, ya que un mes antes, Lapsus$ colgaba un poco discreto anuncio en su canal de Telegram en el que buscaba empleados dentro de compañías que estuviesen dispuestos a trabajar con ellos, incluida Microsoft:
"Reclutamos empleados/insiders a continuación!!!!" A TENER EN CUENTA: NO ESTAMOS BUSCANDO DATOS, ESTAMOS BUSCANDO QUE EL EMPLEADO NOS PROPORCIONE UNA VPN O CITRIX A LA RED, o algún escritorio”.
En el mensaje, Lapsus$ señalaba directamente a empresas como Apple, IBM y Microsoft, describiendo formas concretas en las que los hackers podrían acceder a las redes de las empresas objetivo con la ayuda del empleado deshonesto. Desde diciembre, el grupo ha vulnerado el Ministerio de Salud de Brasil, una serie de empresas brasileñas y portuguesas, y luego Nvidia y Samsung en febrero y marzo respectivamente, según una cronología de los ataques de LAPSUS$ publicada por la empresa de ciberseguridad Silent Push. Al parecer, el grupo también se atribuyó el ataque a Ubisoft este mes.
Sí, Microsoft ha sido hackeada y robada
En un comunicado, Micrososft confirmó que el grupo, al que califica de "conocido por utilizar un modelo de extorsión y destrucción pura sin desplegar cargas útiles de ransomware", había comprometido "una sola cuenta". La empresa describió cómo se produjo el ataque y sus recomendaciones para aumentar las contramedidas contra futuros ataques. La corporación también declaró lo que cree que son la motivación y los objetivos de Lapsus$ (al que Microsoft se refiere en el post como DEV-0537).
"El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) evalúa que el objetivo de DEV-0537 es obtener un acceso elevado a través de credenciales robadas que permitan el robo de datos y ataques destructivos contra una organización objetivo, a menudo con resultado de extorsión. Las tácticas y los objetivos indican que se trata de un actor cibercriminal motivado por el robo y la destrucción".
Microsoft también ha subrayado que, si bien la brecha se produjo, cree que "ningún código o dato de clientes estuvo involucrado en las actividades observadas. Nuestra investigación ha descubierto que una sola cuenta había sido comprometida, concediendo un acceso limitado".
La compañía ha concluido ofreciendo recomendaciones a otras corporaciones que pueden ser objetivo del grupo de hackers, incluso mostrando una captura de pantalla de una conversación de WhatsApp en la que el grupo cita una lista de objetivos que incluye a Apple, EA y otros.