В пос­леднее вре­мя хакер­ская груп­па Lapsus$ не схо­дит с пер­вых полос ИТ‑изда­ний по все­му миру. Эти пар­ни шан­тажиро­вали Nvidia, сли­ли исходные коды Ubisoft, Microsoft и Samsung, ском­про­мети­рова­ли Okta. Как теперь сооб­щают СМИ и экспер­ты, лидером этой хак‑груп­пы может быть 17-лет­ний под­росток из Великоб­ритании, к тому же недав­но арес­тован­ный влас­тями. Взломы и вымогательство Впер­вые груп­па Lapsus$ заяви­ла о себе нес­коль­ко месяцев назад, в декаб­ре 2021 года, ког­да пос­ле взло­ма зат­ребова­ла выкуп у Минис­терс­тва здра­воох­ранения Бра­зилии. Одна­ко на пер­вые полосы СМИ хакеры начали попадать поз­же, уже пос­ле ком­про­мета­ции стол­пов ИТ‑индус­трии. Как отме­чали экспер­ты ком­пании Flashpoint, Lapsus$ отли­чает­ся от дру­гих вымога­тель­ских груп­пировок тем, что не шиф­рует фай­лы сво­их жертв, а про­ника­ет в сеть ком­пании, получа­ет дос­туп к важ­ным фай­лам, похища­ет их, а затем угро­жает слить дан­ные, если ей не зап­латят выкуп. Так­же сле­дует добавить, что Lapsus$ не име­ет собс­твен­ного «сай­та для уте­чек», где пуб­лику­ет или про­дает дан­ные сво­их жертв. Все сли­вы и обще­ние «с пуб­ликой» про­исхо­дят в Telegram-канале хакеров, который нас­читыва­ет более 52 тысяч под­писчи­ков, или по поч­те, а похищен­ные дан­ные и вов­се рас­простра­няют­ся через тор­ренты. В общей слож­ности жер­тва­ми Lapsus$ ста­ли уже 19 ком­паний и орга­низа­ций, при этом 15 из них находят­ся в стра­нах Латин­ской Аме­рики и в Пор­тугалии. Вспом­ним самые гром­кие взло­мы, которые в пос­ледние два месяца при­нес­ли груп­пиров­ке извес­тность: Nvidia: Lapsus$ похити­ли у про­изво­дите­ля железа учет­ные дан­ные 71 тысячи сот­рудни­ков, исходные коды и дру­гую внут­реннюю информа­цию, вклю­чая сер­тифика­ты для под­писи кода. Хакеры тре­бова­ли, что­бы ком­пания откры­ла исходни­ки всех сво­их GPU-драй­веров и отклю­чила на виде­окар­тах механизм LHR (Lite Hash Rate), при помощи которо­го про­изво­дитель огра­ничи­вает май­нин­говый потен­циал сво­его железа. Samsung: груп­па укра­ла кон­фиден­циаль­ные дан­ные, в том чис­ле исходный код, свя­зан­ный с работой смар­тфо­нов Galaxy, в ито­ге опуб­ликовав при­мер­но 190 Гбайт дан­ных. Microsoft: хакеры обна­родо­вали часть исходных кодов Bing, Cortana и дру­гих про­дук­тов Microsoft, яко­бы похищен­ных с внут­ренне­го сер­вера Microsoft Azure DevOps. В Microsoft сооб­щили, что в ком­пании «не счи­тают сек­ретность кода мерой безопас­ности», и завери­ли, что утеч­ка исходни­ков не вле­чет за собой повыше­ние рис­ков. Okta: по офи­циаль­ным дан­ным, взлом это­го пос­тавщи­ка сис­тем управле­ния дос­тупом и иден­тифика­цией зат­ронул при­мер­но 2,5% кли­ентов Okta. Lapsus$ име­ли дос­туп к сер­верным адми­нис­тра­тив­ным кон­солям Okta и дан­ным кли­ентов, судя по все­му ском­про­мети­ровав машину одно­го из сот­рудни­ков под­дер­жки с высоким дос­тупом. Сре­ди дру­гих пос­тра­дав­ших от рук груп­пиров­ки были пор­тугаль­ское под­разде­ление Vodafone, аргентин­ский гигант e-commerce Mercado Libre, упо­мяну­тое выше Минис­терс­тво здра­воох­ранения Бра­зилии. Тактики и методы Хо­тя даже пос­ле офи­циаль­ного приз­нания фак­та взло­ма пред­ста­вите­ли Microsoft не сооб­щили, как имен­но была ском­про­мети­рова­на учет­ная запись сот­рудни­ка ком­пании, пос­ле ата­ки был опуб­ликован деталь­ный обзор так­тик и методов, исполь­зуемых Lapsus$ (в ком­пании груп­пиров­ку отсле­жива­ют под кодовым име­нем DEV-0537).