Le gouvernement américain a publié un rapport après avoir analysé des techniques simples, par ex. L’échange de cartes SIM, utilisé par le groupe d’extorsion de dollars Lapsus pour violer des dizaines d’organisations dotées d’une solide posture de sécurité.
L’examen des opérations du groupe a commencé en décembre de l’année dernière à la suite d’une longue série d’incidents attribués ou revendiqués par Lapsus$ après avoir divulgué des données exclusives de victimes présumées.
Parmi les entreprises de premier plan touchées par Lapsus $ figurent Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Uber, Vodafone, Ubisoft et Globant.
Lapsus$ est décrit comme un groupe vaguement organisé formé principalement d’adolescents, avec des membres au Royaume-Uni et au Brésil qui ont agi entre 2021 et 2022 pour la notoriété, le gain financier ou pour le plaisir. Cependant, ils ont également combiné des techniques de complexité variable avec des « éclairs de créativité ».
Puissance d’échange de carte SIM
Le Comité d’examen de la cybersécurité (CSRB) du Département de la sécurité intérieure (DHS) a finalisé son analyse et décrit les tactiques et techniques du groupe dans un rapport qui comprend également des recommandations pour l’industrie.
« Lapsus$ a utilisé des techniques peu coûteuses, bien connues et disponibles pour d’autres acteurs de la menace, révélant les points faibles de notre cyberinfrastructure qui pourraient être vulnérables à de futures attaques » – Department of Homeland Security Cyber Safety Review Board.
Le groupe a utilisé l’échange de carte SIM pour accéder au réseau interne d’une entreprise cible et voler des informations confidentielles telles que le code source, des détails sur la technologie propriétaire ou des documents commerciaux et liés aux clients.
Lors d’une attaque par échange de carte SIM, l’auteur de la menace vole le numéro de téléphone de la victime en le transférant sur une carte SIM appartenant à l’attaquant. L’astuce repose sur l’ingénierie sociale ou sur un initié de l’opérateur de téléphonie mobile de la victime.
En contrôlant le numéro de téléphone de la victime, l’attaquant peut recevoir des codes éphémères par SMS pour l’authentification à deux facteurs (2FA) nécessaire pour se connecter à divers services d’entreprise ou violer les réseaux d’entreprise.
Aller à la source
Dans le cas de Lapsus$, certains des échanges frauduleux de cartes SIM ont été effectués directement à partir des outils de gestion des clients du fournisseur de télécommunications après avoir détourné des comptes appartenant à des employés et des sous-traitants.
Pour obtenir des informations confidentielles sur leur victime (nom, numéro de téléphone, informations sur le réseau propriétaire du client), les membres du groupe ont parfois utilisé des demandes de divulgation d’urgence (EDR) frauduleuses.
Un attaquant peut créer un faux EDR en se faisant passer pour un demandeur légitime, tel qu’un agent des forces de l’ordre, ou en appliquant des logos officiels à la demande.
Lapsus$ s’est également appuyé sur des initiés d’entreprises, d’employés ou de sous-traitants ciblés pour obtenir des informations d’identification, approuver des demandes d’authentification multifacteur (MFA) ou utiliser un accès interne pour aider l’auteur de la menace.
« Après avoir exécuté les échanges SIM frauduleux, Lapsus$ a pris le contrôle des comptes en ligne via des workflows de connexion et de récupération de compte qui envoyaient des liens uniques ou des codes d’accès MFA via SMS ou appels vocaux » – Department of Homeland Security Cyber Safety Review Board.
Dans un cas, Lapsus$ a utilisé son accès non autorisé à un fournisseur de télécommunications pour tenter de compromettre des comptes de téléphonie mobile connectés au personnel du FBI et du ministère de la Défense.
La tentative a échoué en raison de la sécurité supplémentaire mise en œuvre pour ces comptes.
Gagner et dépenser de l’argent
Au cours de la recherche, les conclusions du CSRB, le groupe a payé jusqu’à 20 000 $ par semaine pour accéder à la plate-forme d’un fournisseur de télécommunications et effectuer des échanges de carte SIM.
Bien que le FBI n’ait pas été au courant que Lapsus$ vendait les données qu’il avait volées ou avait trouvé des preuves que des victimes payaient des rançons au groupe, le CSRB affirme que certains experts en sécurité « ont observé des organisations d’extorsion de Lapsus$ avec certains payant des rançons ».
Selon les conclusions du CSRB, le groupe a également exploité des vulnérabilités non corrigées dans Microsoft Active Directory pour augmenter ses privilèges sur le réseau victime.
On estime que Lapsus$ a exploité les problèmes de sécurité d’Active Directory dans jusqu’à 60 % de ses attaques, ce qui montre que les membres du groupe avaient les compétences techniques pour se déplacer à l’intérieur d’un réseau.
Frapper les freins
Alors que Lapsus$ se caractérisait par son efficacité, sa rapidité, sa créativité et son audace, le groupe n’a pas toujours réussi ses attaques. Il a échoué dans les environnements qui implémentaient une application ou une authentification multifacteur basée sur des jetons (MFA).
De plus, des systèmes robustes de détection des intrusions sur le réseau et le signalement des activités de compte suspectes ont empêché les attaques Lapsus$. Lorsque les procédures de réponse aux incidents ont été suivies, l’impact a été « considérablement atténué », indique le CSRB dans le rapport.
Bien que les chercheurs et les experts en sécurité dénoncent depuis des années l’utilisation de l’authentification par SMS comme non sécurisée, le Cyber Safety Review Board du DHS souligne que « la plupart des organisations n’étaient pas prêtes à empêcher » les attaques de Lapsus$ ou d’autres groupes employant des tactiques similaires.
Les recommandations du Conseil visant à empêcher d’autres acteurs d’accéder sans autorisation à un réseau interne incluent :
- la transition vers un environnement sans mot de passe avec des solutions sécurisées de gestion des identités et des accès et la suppression des SMS comme méthode d’authentification en deux étapes
- donner la priorité aux efforts visant à réduire l’efficacité de l’ingénierie sociale grâce à des capacités d’authentification robustes et résistantes au phishing MFA
- Les fournisseurs de télécommunications devraient traiter les échanges de cartes SIM comme des actions hautement privilégiées qui nécessitent une vérification d’identité solide et fournir des options de verrouillage de compte aux consommateurs.
- renforcer les activités de surveillance et d’application de la Federal Communications Commission (FCC) et de la Federal Trade Commission (FTC)
- planifier les cyberattaques perturbatrices et investir dans la prévention, la réponse et la récupération ; adopter un modèle de confiance zéro et renforcer les pratiques d’authentification
- renforcer la résilience contre les attaques d’ingénierie sociale lorsqu’il s’agit de demandes de divulgation (de données) d’urgence
- les organisations devraient accroître leur coopération avec les forces de l’ordre en signalant rapidement les incidents ; le gouvernement américain « des directives claires et cohérentes sur ses rôles et responsabilités liés aux incidents cybernétiques »
Lapsus$ est resté silencieux depuis septembre 2022, probablement en raison d’enquêtes des forces de l’ordre qui ont conduit à l’arrestation de plusieurs membres du groupe.
En mars de l’année dernière, la police de la ville de Londres a annoncé l’arrestation de sept personnes liées à Lapsus$. Quelques jours plus tard, le 1er avril, deux autres ont été appréhendés, un de 16 ans et un de 17 ans.
En octobre, lors de l’opération Dark Cloud, la police fédérale brésilienne a arrêté un individu soupçonné de faire partie du groupe d’extorsion de dollars Lapsus, pour avoir enfreint les systèmes du ministère de la Santé du pays.