Microsoft расследует заявления о взломе хранилищ исходного кода

2
Microsoft представляет потоковое устройство Xbox

Компания Microsoft заявила, что расследует заявления о том, что хакерская группа Lapsus$, занимающаяся вымогательством данных, проникла в ее внутренние хранилища исходного кода Azure DevOps и похитила данные.

В отличие от многих групп вымогателей, о которых мы читаем сегодня, Lapsus$ не устанавливает вымогательское ПО на устройства своих жертв.

Вместо этого они нацеливаются на хранилища исходного кода крупных компаний, крадут их собственные данные, а затем пытаются выкупить эти данные у компании за миллионы долларов.

Хотя неизвестно, удалось ли группе вымогателей выкупить украденные данные, Lapsus приобрела известность за последние месяцы благодаря подтвержденным атакам на NVIDIA, Samsung, Vodafone, Ubisoft и Mercado Libre.

Lapsus$ заявляет о взломе Microsoft

Рано утром в воскресенье банда Lapsus$ заявила, что взломала сервер Microsoft Azure DevOps, опубликовав в Telegram скриншот предполагаемых внутренних хранилищ исходного кода.

Этот снимок экрана, показанный ниже, относится к хранилищу Azure DevOps, содержащему исходный код для Cortana и различных проектов Bing под названиями «Bing_STC-SV», «Bing_Test_Agile» и «Bing_UX».

На скриншоте также показаны другие репозитории исходного кода, но неизвестно, что в них содержится.

Странно, но банда вымогателей оставила на скриншоте инициалы вошедшего в систему пользователя «IS», что потенциально позволяет Microsoft идентифицировать и защитить взломанную учетную запись.

Включение инициалов может также означать, что у них больше нет доступа к хранилищу или они просто дразнят Microsoft, что банда вымогателей, как известно, делала с предыдущими жертвами.

Вскоре после размещения скриншота банда Lapsus$ удалила свой пост и заменила его сообщением: «Удалено на данный момент, перепост будет позже». Однако к тому времени исследователи безопасности уже успели получить скриншот и поделиться им в Twitter.

Хотя Microsoft не подтвердила, был ли взломан аккаунт Azure DevOps, они сообщили BleepingComputer, что знают о заявлениях и расследуют их.

К сожалению, у Lapsus$ хороший послужной список: их заявления об атаках на другие компании впоследствии подтвердились.

Так ли плохи утечки исходного кода?

Хотя утечка исходного кода облегчает поиск уязвимостей в программном обеспечении компании, Microsoft ранее заявляла, что утечка исходного кода не создает повышенного риска.

По словам представителей Microsoft, их модель угроз предполагает, что субъекты угроз уже понимают, как работает их программное обеспечение, будь то в результате обратной разработки или предыдущих утечек исходного кода.

«В Microsoft мы придерживаемся подхода, основанного на внутреннем коде — использовании лучших практик разработки программного обеспечения с открытым исходным кодом и культуры, подобной культуре открытого кода, — чтобы сделать исходный код доступным для просмотра в Microsoft. Это означает, что мы не полагаемся на секретность исходного кода для обеспечения безопасности продуктов, и наши модели угроз предполагают, что злоумышленники знают исходный код», — пояснила компания Microsoft в своем блоге по поводу получения злоумышленниками SolarWinds доступа к исходному коду.

«Поэтому просмотр исходного кода не связан с повышением риска».

Однако репозитории исходного кода также обычно содержат маркеры доступа, учетные данные, ключи API и даже сертификаты подписи кода.

Когда Lapsus$ взломали NVIDIA и опубликовали свои данные, они также включали сертификаты подписи кода, которые другие угрожающие субъекты быстро использовали для подписи своих вредоносных программ. Использование сертификата подписи кода NVIDIA могло заставить антивирусные системы доверять исполняемому файлу и не определять его как вредоносный.

Компания Microsoft ранее заявляла, что ее политика разработки запрещает включать в репозитории исходного кода «секреты», такие как ключи API, учетные данные или маркеры доступа.

Даже если это так, это не означает, что в исходный код не включены другие ценные данные, такие как закрытый ключ шифрования или другие запатентованные инструменты.

Неизвестно, что содержится в этих репозиториях, но, как и в случае с предыдущими жертвами, утечка украденных данных, которые, по их словам, были получены Lapsus$, — лишь вопрос времени.

Последнее обновление 6 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии