Microsoft ha confirmado un incidente de seguridad que saltó a Internet el pasado fin de semana, cuando el grupo de piratas informáticos autodenominado LAPSUS$ aseguró que había robado 37 Gbytes de datos de un servidor Azure DevOps, que contenía código fuente de varios proyectos internos de Microsoft, incluidos el buscador Bing, el asistente Cortana y el servicio de mapas Bing Maps.
El hackeo a Microsoft se produjo cuando el grupo Lapsus$ vulneró la cuenta de uno de sus empleados, lo que le proporcionó acceso limitado a los repositorios del código fuente. «Ningún código de cliente o datos estuvieron involucrados en las actividades observadas. Nuestra investigación encontró que una sola cuenta se vio comprometida, otorgando acceso limitado. Nuestros equipos de respuesta de seguridad cibernética bloquearon la cuenta comprometida para evitar más actividad», explica Microsoft en un artículo en su blog de seguridad.
El gigante del software aclara que la filtración del código fuente no eleva el riesgo en ciberseguridad y de hecho una parte de ese código está disponible públicamente en GitHub. También explica que su equipo de seguridad ya estaba investigando a LAPSUS$ después que el grupo vulnerara la seguridad de otras grandes empresas como NVIDIA, Samsung o Vodafone. «Ello permitió a nuestro equipo intervenir e interrumpir el ataque en medio de la operación, lo que limitó un impacto más amplio», aseguran.
-¿Cómo se produjo el hackeo a Microsoft?
Microsoft no ha precisado exactamente como se comprometió la cuenta del empleado citada, pero ha proporcionado una descripción general de las tácticas, técnicas y procedimientos que usa LAPSUS$, un grupo de ciberdelincuentes que la compañía investiga con el nombre de ‘DEV-0537’.
Al igual que sucedió en el robo de datos a NVIDIA, el grupo enfoca sus esfuerzos en obtener credenciales para el acceso inicial a las redes corporativas. Una empresa puede tener la mejor seguridad informática del planeta, pero si falla el factor humano y los atacantes consiguen los datos de autenticación de algún empleado de nivel, se acabó la seguridad. Estas credenciales se obtienen utilizando los siguientes métodos:
•Implementación del malware especializado ‘Redline’ para obtener contraseñas y tokens de sesión.
•Compra de credenciales y tokens de sesión en foros clandestinos.
•Pago a los empleados de las organizaciones específicas (o proveedores/socios comerciales) por el acceso a las credenciales y la correspondiente aprobación de la autenticación multifactor (MFA).
•Búsqueda de credenciales expuestas en repositorios de códigos públicos.
La forma de operar es conocida. Se introduce el malware Redline a través de correos electrónicos de phishing, sitios de warez y videos de YouTube para robar las credenciales. Una vez que Laspsus$ obtiene acceso a las credenciales comprometidas, las utilizan para iniciar sesión en los dispositivos y sistemas públicos de una empresa, incluidas las VPN, la infraestructura de escritorios virtuales o los servicios de administración de identidades, como sucedió con la empresa Okta, que violaron en enero.
Microsoft dice que usan ataques de repetición de sesión para cuentas que utilizan MFA o activan continuamente notificaciones de MFA hasta que el usuario se cansa de ellas y confirma que se le debe permitir iniciar sesión. Lapsus también realizó un ataque de intercambio de SIM para obtener el control de los números de teléfono y los mensajes de texto del usuario, con el objetivo de obtener los códigos multifactor necesarios para iniciar sesión en la cuenta.