Af Eskil Sørensen, 24/03/22
Kompromitteringen af Microsofts Azure DevOps-server er et klassisk studie i, hvordan en trusselsaktør arbejder, når denne har udset sig et mål. Det illustreres i redegørelse over hændelsesforløbet, som Microsoft åbent har lagt frem for offentligheden. Den giver en fin beskrivelse af, hvordan cyberkriminelle arbejder og et godt indblik i, hvorfor de så kendte sikkerhedsforanstaltninger, bør nyde fremme. Det kan man lære en masse af.
Her er nogle af metoderne, som bruges til at kompromittere brugeridentiteter og legitimationsoplysninger for at få indledende adgang til en organisation:
- Implementering af den ondsindede Redline-adgangskodetyver for at få adgangskoder og sessionstokens
- Køb af legitimationsoplysninger og sessionstokens fra kriminelle underjordiske fora
- Betaling af medarbejdere hos de organisationer (eller leverandører/forretningspartnere), som er målet for angrebet for at få adgang til legitimationsoplysninger og MFA-godkendelse
- Søgning i offentlige kodelagre efter synlige legitimationsoplysninger
Security Affairs skriver, hvordan trusselsaktørerne har brugt de kompromitterede legitimationsoplysninger og/eller sessionstokens til at få adgang til målnetværkene gennem internetvendte systemer og applikationer (dvs. virtuelt privat netværk (VPN), fjernskrivebordsprotokol (RDP), virtuel skrivebordsinfrastruktur (VDI) inklusive Citrix eller Identitetsudbydere (inklusive Azure Active Directory, Okta)).
Først adgang, så yderligere kompromittering
Gruppen bruger også session replay-angreb til at kompromittere de konti, der er beskyttet med MFA. I visse tilfælde udløser de også løbende MFA-notifikationer, indtil brugeren har givet dem lov til at logge ind. I mindst et angreb brugte gruppen ifølge redegørelsen også et SIM-swap-angreb at omgå MFA.
Efter at have fået adgang – skriver Microsoft – brugte Lapsus$-gruppen flere metoder for at udvide deres adgang, fx
- Udnyttelse af uoprettede sårbarheder på internt tilgængelige servere, herunder JIRA, Gitlab og Confluence
- Søgning i i kodelagre og samarbejdsplatforme efter afslørede legitimationsoplysninger og hemmeligheder.
Det er yderligere observeret, at gruppen bruger AD Explorer, som er et offentligt tilgængeligt værktøj, til at opregne alle brugere og grupper i det nævnte netværk, skriver Security Affairs med henvisning til Microsofts redegørelse.
Endelig har Lapsus$-banden oprettet en dedikeret infrastruktur hos kendte udbydere af virtuelle private servere (VPS) og udnyttet NordVPN til dataeksfiltrering ved hjælp af VPN-udgangspunkter, der geografisk lignede deres mål. Dette for at undgå at blive opdaget.