De plus en plus d’indices montrent que le groupe Lapsus$ a eu accès à des données internes de Microsoft et d’Okta. Ce que les pirates ont pu voir concrètement n’est pas clair à ce jour.

A la chasse aux données internes

Selon un chercheur en sécurité, un référentiel contenant le code source d’Azure DevOps aurait été dans la ligne de mire des pirates chez Microsoft. Le code qu’il a découvert publié sur Twitter, est une capture d’écran proviendrait de Lapsus$ d’un groupe Telegram. On ignore pour l’instant si les pirates ont copié des données et lesquelles. Jusqu’à présent, Microsoft n’a pas confirmé les accès non autorisés.

Okta est un prestataire de services de gestion des identités et des accès, utilisé entre autres par Cloudflare. Le CEO de Cloudflare rapporte l’incident sur Twitter, mais assure qu’il n’y a actuellement aucune preuve que Cloudflare a été compromis.

Dans un article, un autre chercheur en sécurité fait remarquer queque les pirates visent les données des clients d’Okta. D’autre part, des captures d’écran circulent sur le net avec des données internes prétendument divulguées, comme les noms des collaborateurs d’Okta. Selon les chercheurs en sécurité, ces données ont été comparées avec succès avec des profils Linkedin.

Chantage

Le modèle commercial de Lapsus$ consiste à copier des informations internes d’entreprises et à les menacer de les publier. Dans le cas de Nvidia et de Samsung, cela s’est déjà produit en partie. Par conséquent, on a déjà observé des codes malveillants signés avec un certificat de Nvidia. Les systèmes d’exploitation font confiance à une telle signature et exécutent le code sans autre question. Dans le cas de Nvidia, les pirates auraient récupéré plus de 1 TByte de données.