Lapsus$是一个大部分成员为青少年、组织松散的黑客团伙。但根据报道，自2021年末到2022年末，Lapsus$采用了各种技术绕过常用的安全控制措施，并成功渗透了数十个具有强大安全体系的公司。这引起了美国网络安全审查委员会的注意。

受Lapsus$影响的知名公司包括微软、思科、Okta、英伟达、T-Mobile、三星、优步、沃达丰、育碧和Globant等。

8月10日，美国国土安全部（DHS）发布了网络安全审查委员会（CSRB）关于Lapsus$活动的调查结果——Lapsus$利用简单的技术规避了许多企业网络安全程序的关键部分。CSRB 发现，Lapsus$和相关威胁行为者主要使用的是窃取手机号码、钓鱼攻击员工等低成本的技术，以此获取公司及其专有数据的访问权限。报告指出，在使用短信和语音呼叫进行多因素身份验证时，组织在考虑与之相关的风险方面存在集体失误。

“Lapsus$使用了低成本的技术，这些技术为其他威胁行为者所熟知并可用，揭示了我们的网络基础设施中可能存在的薄弱点，这些薄弱点可能容易受到未来攻击的威胁。”——CSRB

报告上写道，该团伙主要利用SIM卡交换攻击来获取目标公司的内部网络访问权限，并窃取机密信息（如源代码、专有技术细节或与业务和客户相关的文件）。在此过程中，威胁行为者会将受害者的手机号转移到攻击者拥有的SIM卡上来。这个技巧的成功率依赖于社交工程及受害者所在的移动运营商内部人员。在掌握受害者的手机号后，攻击者就能够通过接收基于短信的两步验证（2FA）所需的临时代码，来登录各种企业服务或入侵企业网络。

在一起案例中，Lapsus$利用他们对电信供应商的未授权访问，试图入侵与FBI和国防部人员相关的手机账户。由于这些账户采取了额外的安全措施，该攻击尝试未能成功。

CSRB在报告中提出了数条建议，以防范此类攻击：

使用安全的身份和访问管理解决方案，过渡到一个无密码环境，并摒弃短信作为双重认证的方法；

通过可抵御MFA网络钓鱼的强身份验证功能，优先降低社交工程的效果；

电信供应商应将SIM卡交换视为需要强身份验证的高特权操作，并为消费者提供账户锁定选项；

计划应对破坏性的网络攻击，并在预防、响应和恢复方面进行投资；

采用零信任模型并加强身份验证实践等。

编辑：左右里

资讯来源：DHS、CSRB

转载请注明出处和本文链接