Dünyanın pek çok yerindeki küçük-orta-büyük ve çok daha büyük şirketler son yıllarda fidye yazılım saldırıları karşı karşıya kalmaktadır. Hatta pek çok tehdit aktörü de diğer saldırı vektörlerinden vazgeçip, fidye yazılım tarafında faaliyet gösterdiği gözlemleniyor.
2020 yılından bu yana güvenlik araştırmacılarının radarında olan Lapsus$ grubu, son 4-5 aydır artan faaliyetlerinden dolayı fidye yazılım çetelerinden çok daha fazla ön plana çıkarak siber güvenlik şirketlerinin radarına girdi. Fakat grubu asıl olarak öne çıkaran Brezilya Sağlık Bakanlığı’na gerçekleştirdikleri saldırı oldu. Bu saldırı ve 27 Şubat’taki Nvidia olayına kadar, hedef alınan kurbanların tamamı sadece Portekizçe konuşulan ülkeler olan Brezilya ve Portekiz’de yer alıyordu.
Grubun saldırı yöntemleri incelendiğinde fidye yazılım saldırısı, sosyal mühendislik saldırıları, karanlık ağlarda şirketlere ait satışa çıkartılan hesap erişim bilgilerinin satın alınması veya kendileri tarafından elde edilmesi, “Redline” adlı parola çalan kötü amaçlı yazılımın kullanımı gibi saldırı stratejileri yer alıyor. Bunların yanında belki de çok daha tehlikeli bir atak vektörü denilebilecek içeriden bir çalışana para karşılığında, tehdit aktörleriyle işbirliğine gitmesi denilebilir. Bir vakada ise grubun lideri olduğu iddia edilen kişi , Verizon ve AT&T’deki çalışanlara suç operasyonuna katılmaları için haftada 20 bin dolar teklif etmişti.
Diğer tehdit aktörlerinin aksine grup, elde ettikleri veya satın aldıkları hesap erişim bilgileri ile şirket ağlarının derinliklerine inip, pek çok veriyle birlikte özel projelere yada halihazırdaki ürünlere ait kaynak kodların bir kısmını da ele geçirdiler.
Lapsus$‘un son dört aydaki aktivitelerine bakıldığında;
— 9 Aralık 2021: Grup, Telgram kanallarında yayınladıkları mesajla Brezilya Sağlık Bakanlığı’na yönelik gerçekleştirilen büyük bir siber saldırıyı üstlendiler. Yayınladıkları mesajda 50TB’a yakın veriyi çaldıklarını ve orjinal veri tabanlarını tamamiyle sildiklerini iddia etmişlerdi. Ki iddia edilen bu saldırı, grubu özellikle ön plana çıkardı.
— 2021 Aralık ayının son 10 gününde, Brezilya’daki telekom hizmeti veren Claro ve Embratel adlı iki şirketle ilgili Telegram kanallarında veriler yayınladılar.
— 2022 Ocak’ın ilk haftasında Portekiz’deki en büyük medya şirketi ve ülkenin en büyük TV kanalı SIC ve haftalık gazetesi Expresso’nun sahibi olan Impresa‘ya ait verileri yayınladılar.
— Impresa olayından bir hafta sonra, yine Brezilya’da araç kiralama hizmeti veren Localiza adlı bir şirketin verilerini yayınladılar. Saldırıyla birlikte bu şirkete ait web sitesini ziyaret eden kullanıcılar birkaç saat boyunca yetişkin videoları yayınlayan bir web sitesine yönlendirildiler.
— Localiza saldırısında yaklaşık iki hafta sonra, Portekiz merkezli Grupa Cofina adlı bir medya şirketine saldırı yapıldı. Bu saldırı Lapsus$‘a atfedilsede, grup tarafından hiçbir zaman resmi olarak üstlenilmedi.
— 8 Şubat 2022: Telegram kanalında yaptıkları anketle, Vodafone şirketine ait sistemleri ihlal ettiklerini duyurdular. Mart ayının başlarında yaptıkları başka bir anketle, Vodafone ait 5 bin Githup deposuna eriştiklerini ve yaklaşık 200GB veri elde ettiklerini belirttiler. Bu anketle ortaya çıkan yeni bir bilgiyle grubun, Arjantin merkezli bir e-ticaret şirketi olan MercadoLibre‘ye ait verileride elde ettikleri anlaşıldı.
— 27 Şubat 2022: Grup, grafik kartı üreticisi Nvidia’ya ait şemaların, aygıt yazılımlarının ve pek çok verinin yer aldığı yaklaşık 1 TB’lık dosyanın ellerinde olduğuyla ilgili mesajını duyurdular. Nvidia, saldırıyı ilk önce 23 Şubat’ta fark ettiğini belirtti. Lapsus$, şirketten ilk olarak ekran kartlarındaki kripto madenciliği sınırlamasının kaldırılmasını talep etti. 1 Mart’ta taleplerini genişletip, Nvidia’yı GPU sürücülerini tamamen açık kaynaklı hale getirmeye çağırdı. Bu çağrıyla birlikte elde ettikleri verileri 1 milyon dolarlık bir fiyatla satışa sundular. Bu mesele deki en ilginç iddia ise Lapsus$ grubundan geldi. Grup, Nvidia’yı suçlayarak kendilerine ait sunuculara sızılıp, veilerinin şifrelendiğini duyurdu.
— 4 Mart 2022: Telegram kanallarındaki yayınladıkları yeni bir mesajla, Samsung cihazları ve yazılımlarıyla ilgili çeşitli kaynak kodları ve algoritmaları içeren bir torrent dosyasına ait bağlantı paylaştılar. Birkaç gün sonra ise ilgili veri ihlali Samsung tarafından kabul edildi.
— 11 Mart 2022: Ubisoft, online oyun hizmetlerinde kesintiler yaşanmasına sebep olan bir siber saldırı yaşadığını duyurdu. The Verge tarafından kesintiyle ilgili bir haber paylaşıldıktan sonra, Lapsus$ grubu bu haberi alıntılıyarak emoji yayınladılar ve saldırıyı üstlendiler.
— 19 Mart 2022: Grup, Telegram kanallarında yayınladıkları ekran görüntüsüyle, teknoloji devi Microsoft’a ait bazı ürünlere ait kaynak kodların ellerinde olduklarını iddia ettiler. 21 Mart tarihinde ise Bing, Bing Maps ve Cortana’ya ait kısmi kaynak kodları yayınladılar.
— 19-21 Mart 2022: Grubun son kurbanı, kimlik doğrulama hizmeti sunan ve dünya çapında binlerce şirket tarafından kullanılan Okta oldu.
— 22 Mart 2022: Son olarak ise LG şirketi ile ilgili bir dosya, Telegram üzerinden yayınlandı.
Kaynaklar
1- https://gizmodo.com/who-is-lapsus-the-gang-hacking-microsoft-samsung-an-1848686059
2- https://www.darkowl.com/blog-content/darknet-threat-actor-report-lapsus/
3- https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/#more-59041
4- https://firewalltimes.com/lapsus-group-cyberattacks/
5- theverge.com/2022/3/11/22972768/ubisoft-cyber-security-incident-hack
6- https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/#more-59041
