Le groupe de pirates informatiques Lapsus$ prend à nouveau les choses au sérieux et a publié des données internes de Microsoft dans une archive de 37 gigaoctets. Outre Microsoft, le fournisseur de services de gestion d’accès Okta vient également d’avouer des accès non autorisés au serveur.
Parmi les données divulguées se trouverait le code source de 250 projets Microsoft. Comme le rapporte le portail d’actualités informatiques Bleepingcomputer, l’archive contiendrait entre autres 90 pour cent du code source de Bing. Différents chercheurs en sécurité ont indiqué au portail que les données étaient très probablement authentiques. Le code d’Office et de Windows n’y figure pas.
Sommaire
Les attaquants se propagent
Dans une analyse de l’incident, Microsoft assure que les attaquants n’ont pas eu accès aux données des clients. Le point d’entrée pour les attaquants aurait été un compte compromis avec des droits d’accès limités. Cette faille aurait été comblée entre-temps.
Selon l’analyse de Microsoft, le groupe utilise entre autres le cheval de Troie Redline pour accéder aux données d’accès. Une fois que les pirates ont accès à un réseau, ils se déplacent latéralement et tentent d’obtenir d’autres mots de passe via Confluence ou Teams.
Attaque confirmée
Alors qu’il n’y avait tout d’abord que des suppositions sur le groupe Lapsus$ en tant qu’attaquant d’Okta, l’entreprise a maintenant confirmé l’accès dans un communiqué. Okta assure que l’incident n’a touché qu’environ 2,5 % de ses clients. Des accès aux données auraient eu lieu. La déclaration ne précise pas si des données ont été copiées. Okta est un grand prestataire de services de gestion des identités et des accès qui compte parmi ses clients Cloudflare, Github et T-Mobile. Okta assure que le service de connexion n’est pas limité par l’attaque.
Une capture d’écran circule sur Twitterqui montre des déclarations de Lapsus$ sur la déclaration d’Okta. Les pirates y accusent le prestataire de services de minimiser l’impact de l’attaque. Selon leurs propres déclarations, ils auraient notamment accès à un portail de super-utilisateurs avec la possibilité de réinitialiser les mots de passe et l’authentification à facteurs multiples (MFA) d’environ 95 % des clients.
L’objectif poursuivi par Lapsus$ avec ses attaques contre Okta et Microsoft n’est pas clair à ce jour. Dans le cas de Nivdia par exemple, ils ont menacé de publier de plus en plus de données si le fabricant de cartes graphiques ne supprimait pas le mini-frein de ses cartes GeForce.