Dele af kildekoden til Bing og Cortana er blevet lagt ud på nettet i hackergruppens seneste angreb mod en stor tech-virksomhed.
Et eller andet sted i verden sidder der en Microsoft-medarbejder med meget røde ører. Vedkommende er måske også i gang med et genopfriskningskursus i virksomhedens sikkerhedspolitikker. Et større hackerangreb mod Microsoft er nemlig blevet udført med adgang til blot en enkelt konto.
Det er hackergruppen Lapsus$, der er på banen igen. Sidst var det Samsung, det gik ud over, denne gang er det altså Microsoft. Sidstnævnte har bekræftet via et blogindlæg, at firmaets sikkerhedsforanstaltninger er blevet omgået med den ældste metode i hacker-håndbogen: Social engineering.
Lapsus$ var dog som vanligt selv ude med meldingen om, at de havde hacket Microsoft, før Microsoft bekræftede. Det skete, da hackergruppen meddelte på Telegram, at de havde tilgængeliggjort en 37GB stor fil med ufuldstændig kildekode fra Bing, Bing Maps og Cortana. Men det viser sig, at Microsoft allerede holdt øje med gruppen.
Efter gruppen var gået efter NVIDIA og Samsung var Microsoft i højt beredskab. Og da så den føromtalte Microsoft-medarbejders login-information blev kompromitteret, ventede Microsofts trussel-gruppe kun på at Lapsus$ selv brød tavsheden, så de kunne offentliggøre hacket.
Søger folk, der vil lukke dem ind i systemet
I blogindlægget skriver Microsoft ikke direkte, at den pågældende medarbejder var blevet offer for social engineering. Men firmaet bruger det meste af indlægget på at demonstrere Lapsus$’ social engineering-taktikker og skriver derefter, at taktikkerne anvendt af Lapsus$ i det specifikke tilfælde ”svarer overens med de taktikker og teknikker beskrevet i dette blogindlæg”.
Det er nok den mest PR-venlige måde, Microsoft kan beskrive medarbejderens forsømmelse på. Social engineering er den hyppigst anvendte teknik for IT-sikkerhedsbrud, og involverer sjældent ret meget teknologi. I stedet prøver hackerne f.eks. at snyde en person til at udlevere sit login, eller graver tilstrækkelig meget information op om en person til at kunne gætte personens kodeord.
Der er dog den lille krølle på historien, at Lapsus$ ifølge Microsofts blogindlæg har været flabede nok til at annoncere efter folk, der kunne have lyst til at sælge deres login og MFA-adgang til hackergruppen. De opfordrer endda medarbejdere, der kan give gruppen VPN-adgang til at tage kontakt.
Som gruppen skriver: ”Du kan få betaling, hvis du vil have det”. Med andre forventer de måske, at nogen vil lukke dem ind i systemet fordi, de måske er blevet sure på chefen eller virksomheden. Det kan altså godt være, at firma-sommerfesten skal være lidt ekstra god i år, så ingen medarbejdere går rundt og er småsure.
