微软遭 Lapsus$ 黑客组织入侵,背后的骚操作防不胜防
互联网时代,黑客攻击早已不是难得一见的新闻,可最近几日,仍有一起黑客攻击事件成功引发安全圈热议:微软遭黑客组织 Lapsus$ 入侵。
3 月 21 日晚,Lapsus$ 公开了从微软 Azure DevOps 服务器盗取的 37GB 源代码,这些被盗的源代码,用于微软的各种内部 Microsoft 项目,包括 Bing 搜索、Cortana 语音助手和 Bing 地图等。
遭泄漏的源代码项目
第二天,微软发布公告确认,确实有一名员工账户遭到 Lapsus$ 黑客组织入侵,并且获取了对源代码存储库的有限访问权限。
通常情况下,一听到某家公司被黑客入侵,不少人下意识认为,肯定是这家公司的安全防范措施不到位。尽管这种推论确实存在,却并不适用于理解这次入侵,因为微软在安全防控方面,并非弱鸡。
微软堪称安全行业的巨无霸,安全、合规、身份与管理部门的员工有万人之多,占员工总人数(约 20 万人)的 5%。这些万中选一的精英人才,专门为企业安全保驾护航,完全不是吃素的。
这样看来,Lapsus$ 黑客组织同样不是吃素的。
Lapsus$ 是个黑客组织新秀,2021 年 12 月因入侵巴西卫生部首次引发关注,从此开始疯狂席卷全球科技巨头,英伟达、三星、沃达丰等都遭其黑手。
更气人的是,这个组织的字典里没有低调二字,他们专门设立了一个 Telegram 频道,用来展示自己在入侵道路上的各种证明材料,此举甚至吸引了一大批追随者。
这次微软遭到入侵,尽管公告中并未透露账户是如何被入侵的,但微软还是提供了一个解题思路:枚举了 Lapsus$ 常用的 4 种入侵手法。
1、部署恶意 Redline 密码窃取程序,这是一种木马程序,能够获取密码和会话令牌;
2、从地下犯罪论坛购买密码和会话令牌;
3、向目标组织的员工 (或供应商/商业伙伴) 支付费用,直接购买他们的密码或二次认证口令;
4、在公共代码库中搜索公开的凭据。
以上四种方法中,1、3、4 都属常规操作,唯独 3,也就是直接向目标公司内部员工付费购买密码或二次认证口令,这波操作属实够骚,但也最有效。
3 月 10 日,Lapsus$ 在 Telegram 上发布了一则另类的招聘启事,面向各大电信运营商、科技巨头类公司雇员,求购 VPN、Citrix、Anydesk 等权限。当然,开出的报酬也非常诱人:周薪 2 万美金,这意味着每月高达 8 万美金,实属高薪没错了。
明目张胆招聘内鬼
不知有多少相关员工看了会心动?毕竟,在整个安全链条上,最大的漏洞就是人。
“购买密码”这种操作属于「社会工程学攻击」的一种,指的是攻击者对目标对象进行心理操纵,使其步步走入提前设好的陷阱,最终泄漏机密信息。
而且,Lapsus$ 在一系列入侵攻击中,还利用了另外一种「社会工程学攻击」手段:MFA 双因子认证 (Multi-factor authentication)。
很长时间以来,MFA 被看作是防止账户被盗最有效的核心防御手段之一,更重要的是,它在现实中已经被广泛使用。
比如当你登陆某平台时,在正确输入用户名和密码外,MFA 还需要你配合出示另一种验证因素,例如指纹、短信/语音验证码、数字口令等,只有顺利完成二次验证,才能访问账户。
然而,Lapsus$ 这类黑客组织正在向外界证明,MFA 并非牢不可破。
由于很多 MFA 提供商允许用户接受手机应用程序推送验证通知、短信接收验证码、接听语音验证电话,或者简单按下屏幕上出现的确认按钮作为第二个因素,黑客组织利用这一点,向终端用户的合法设备发出多次 MFA 请求,目的只有一个:诱导用户接受 MFA 请求。
至于具体操作,包括三种:
1、向目标用户发送一堆 MFA 请求,迫使用户接受其中一个来终止更多骚扰。
2、每天发送一到两个提示,尽管这种方法吸引的注意力较少,但“仍然有一个很好的机会,令目标用户接受 MFA 请求。”
3、给目标用户打电话,假装是公司的一部分,告诉用户需要发送 MFA 请求作为公司流程的一部分。
尽管如今已经证明,MFA 也有漏洞可循,但整体来看,任何形式的 MFA 还是比不使用 MFA 要好得多。
此外,在微软所披露的报告中,还有一个手法值得关注:SIM 卡交换攻击。
简单来说,就是冒充你给 SIM 卡运营商打电话,挂失并补办一张新 SIM 卡。攻击者拿到卡后,通过另一支手机开机,使用补办的 SIM 卡接管你的手机号码,接收你的短信验证码等信息,通过重置账号密码的方式,入侵你的多个账户。
就是这样一个看起来毫无技术含量的手法,在 2018 年 1 月至 2020 年 12 月期间,FBI 互联网犯罪投诉中心收到的报案数量达 320 起,涉及总金额高达 1200 万美元。而 2021 年全年,报案数字更是上升到了 1611 起,涉案金额升至 6800 万美元。
SIM 卡交换攻击根本无需绕过手机复杂的安全机制,一旦攻击成功,真实用户的电话就会失去网络连接,无法拨打或接听电话,而攻击者就可以为所欲为。
除 SIM 卡交换攻击外,还有一种攻击手段值得关注:SIM 卡克隆攻击。
2015 年,全球最大的 SIM 卡芯片制造商 Gemalto 遭黑客入侵,SIM 卡的关键秘钥 KI 疑似遭到窃取。
SIM 卡克隆,是一个非常专业的技术过程,但核心的参数只有两个:IMSI,KI。
IMSI,全称 International Mobile Subscriber Identification Number,国际移动用户识别码,长度不超过 15 位,相当于 SIM 卡的用户名;
Ki (Key identifier),网络验证秘钥,同时也是 SIM 克隆的关键。
Ki 一般存储在两类公司:电信运营商,SIM 卡制造商。这就是为什么 Lapsus$ 的招聘启事中,特别提到电信运营商的原因。
攻击者完成 SIM 卡克隆后,新旧两张 SIM 卡都有效,但只允许最后接入网络的这张新卡在网,而旧卡不会收到任何短信验证码。
攻击者利用手中的新卡接收验证码,进而重置密码或直接进行业务操作,等用户发觉时,损失已经造成。
随着技术进步,社会工程学攻击手段也愈发精致,此次微软被入侵绝不会是最后一例,只能说:道高一尺,魔高一丈;网络安全,任重道远。
参考资料:
1、
https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-they-were-hacked-by-lapsus-extortion-group/2、
https://mp.weixin.qq.com/s/6Nx3H48592fR2d2-YstVEw3、
https://www.wired.com/story/multifactor-authentication-prompt-bombing-on-the-rise/#intcid=_wired-verso-hp-trending_1a5b336d-2544-4d71-9978-7904ecee6869_popular4-1
文 | 木子Yanni
