Lapsus$ colpisce ancora: rubato codice sorgente Microsoft, e compromessa Okta

Il famigerato gruppo hacker Lapsus$ ha dichiarato di aver recuperato il codice sorgente di Bing, Cortana e altri progetti sottratti dal server Azure DevOps di Microsoft. L'annuncio è stato dato sul canale Telegram del gruppo hacker, e successivamente è stato diffuso un link torrent ad un archivio di 9GB comprendente il codice sorgente di 250 progetti che dovrebbero appartenere, secondo le parole degli hacker, a Microsoft.

Al momento della pubblicazione del link torrent, Lapsus$ ha affermato che all'interno dell' archivio compresso si trovano oltre il 90% del codice sorgente di Bing e il 45% del codice sorgente di Bing Maps e di Cortana. In totale vi sarebbero oltre 37GB di codice sorgente non compresso. I ricercatori di sicurezza che hanno già avuto modo di esaminare l'archivio affermano che vi sono elementi per credere che si tratti di codice sorgente interno di Microsoft.

La società di Redmond ha confermato, nel corso della serata di ieri, che il gruppo chiamato "DEV-0573" ha compromesso un singolo account e sottratto parti di codice sorgente di alcuni dei suoi prodotti. Microsoft, in un post sul blog ufficiale, ha dettagliato alcuni dei metodi utilizzati dal gruppo Lapsus$ per compromettere i sistemi delle vittime, dopo averne seguito l'attività da diverse settimane. Secondo la società, il codice rubato non è tale da non rappresentare un incremento del livello di rischio per Microsoft.

Ma le scorribande di Lapsus$ non sono finite qui: tra le recenti vittime di Lapsus$ c'è anche Okta, fornitore di servizi di autenticazione. Nei giorni scorsi il gruppo hacker ha infatti pubblicato sul canale Telegram alcuni screenshot relativi agli ambienti di rete aziendale della società, come ad esempio canali Slack, un'interfaccia Cloudflare e altri servizi.

Gli hacker hanno precisato che gli obiettivi erano solamente i clienti di Okta e non la stessa società. Okta è una realtà che mette a disposizione servizi di single sign-on per numerosi clienti aziendali il che può significare che Lapsus$ stia cercando di recuperare informazioni, dati e credenziali che consentano loro di accedere ad altre realtà aziendali.

La società ha dichiarato anch'essa nella serata di ieri che la violazione compiuta da Lapsus$ ha avuto impatto sul 2,5% circa dei suoi clienti, e cioè 375 realtà. Okta ha confermato che l'incidente è conseguenza di un episodio avvenuto a gennaio quando un sistema portatile di un ingengere di supporto è stato compromesso dagli hacker, i quali hanno potuto accedere a tale sistema per cinque giorni e in questo periodo hanno avuto la possibilità di accedere al pannello di assistenza clienti di Otka e al server Slack dell'azienda. "Abbiamo identificato quei clienti e li stiamo contattando direttamente. Se sei un cliente Okta e sei stato colpito, ti abbiamo già contattato direttamente via email" afferma la società.

Lapsus$ ha divulgato un messaggio in risposta alle dichiarazioni di Okta, affermando che la compromissione sarebbe avvenuta ai danni di un thin client, e non un portatile, e che in questo modo hanno potuto accedere al portale del "superutente" con la possibilità di reimpostare la password e l'autenticazione multi-fattore del 95% circa dei clienti.

Anche Cloudflare si è espresso sulla vicenda, poiché come indicato poco sopra tra gli screenshot condivisi da Lapsus$ è apparsa anche un'interfaccia Cloudflare. Il fondatore e CEO di Cloudflare, Matthew Prince, ha affermato: "Okta è semplicemente un provider d'identità. Fortunatamente abbiamo più livelli di sicurezza oltre a Okta e non li considereremmo ma come opzione unica". Prince ha poi spiegato che Cloudflare ha provveduto alla reimpostazione delle credenziali Okta per i dipendenti che hanno cambiato le loro password negli ultimi quattro mesi.

Il gruppo hacker Lapsus$ è venuto alla ribalta lo scorso mese per aver rivendicato attacchi e conseguente sottrazione e diffusione di informazioni riservate ai danni di NVIDIA e Samsung.