“这真的非常糟糕”：Lapsus$ Gang 声称 Okta Hack

Lapsus$ 泄露微软源代码已经够糟糕的了。 违反 Okta 可能会变得更加糟糕。

周一晚上， Lapsus $ 数字勒索团伙 发布了一系列越来越令人震惊的帖子 电报 频道 首先，该组织抛弃了它声称来自 微软必应搜索引擎 、必应地图和 Cortana 虚拟助手软件的大量源代码。 像微软这样规模庞大且具有安全意识的组织可能遭到破坏，这本身就很重要，但该组织随后发布了更令人震惊的消息：屏幕截图显然是在 1 月 21 日拍摄的，似乎显示 Lapsus$ 控制着 Okta 管理人员或“超级用户”帐户。

Okta 是一个几乎无处不在的 身份管理平台 ，成千上万的大型组织都在使用这些平台，这些组织希望让他们的员工或合作伙伴在不使用十几个密码的情况下轻松登录多个服务，而且最重要的是安全。 过去的违规行为(例如 2020 年 臭名昭著的 Twitter 崩溃 )源于攻击者 接管了 能够修改客户帐户的管理或支持帐户的访问权限。 攻击者使用这些系统权限来重置目标帐户密码、更改与受害者帐户相关联的电子邮件地址，并取得控制权。 当他们攻击 Twitter 帐户时，黑客可以锁定合法用户并从他们的个人资料中发布推文。 但是，当您对 Okta 等身份平台进行此类访问时，潜在的影响会呈指数级增长。

Lapsus$ 自去年 12 月问世以来一直风靡一时，它从包括英伟达、三星和育碧在内的越来越知名的公司那里窃取源代码和其他有价值的数据，并在明显的勒索企图中泄露这些数据。 但研究人员只是广泛地发现，攻击者似乎在使用 网络钓鱼 来危害他们的受害者。 目前尚不清楚一个以前不为人知且看似业余的组织是如何完成如此巨大的数据盗窃的。 现在看来，其中一些备受瞩目的违规行为可能源于该组织的 Okta 妥协。

“在 2022 年 1 月下旬，Okta 检测到有人企图破坏为我们的一个子处理器工作的第三方客户支持工程师的帐户。 此事已由分处理器进行调查和控制，”Okta 首席执行官 Todd McKinnon 。 在一份声明中说 “我们相信网上分享的截图与今年 1 月的活动有关。 根据我们迄今为止的调查，除了 1 月份检测到的活动之外，没有证据表明正在进行恶意活动。”

Okta 没有回答《连线》杂志的更多问题，包括反复询问该公司为何之前没有公开披露这一事件。

微软发言人周二早上表示，该公司“了解这些索赔并正在调查”。

在没有更多信息的情况下，尚不清楚 Lapsus$ 在 Okta 或其未命名的“子处理器”中究竟有多少访问权限。 攻击模拟和修复公司 Phobos Group 的创始人 Dan Tentler 表示，屏幕截图表明 Lapsus$ 破坏了 Okta 站点可靠性工程师的访问权限，作为基础设施维护和改进工作的一部分，该角色可能拥有广泛的系统权限。

“我所要做的就是这些截图，但这是 SolarWinds 2.0 的可能性不为零，”Tentler 说，他指的是去年 供应链攻击 由***情报黑客发起 攻击损害了一系列知名公司 和世界各地的政府机构首先渗透到 IT 管理平台 SolarWinds。 “这确实是一件大事。”

独立安全研究员比尔·德米尔卡皮 (Bill Demirkapi) 更加直言不讳：“这真的非常非常糟糕。”

Okta 大概已经意识到，如果攻击者入侵了具有高度特权的管理帐户，将会对其业务和客户造成严重威胁。 (在声称违规的消息传出后，该公司股价在周二上午下跌了约 6%。)Okta 没有回复 WIRED 就其针对此类访问的防御和监控工具发表评论的请求。 但 Demirkapi 指出，无论您添加多少层保护，“超级用户”帐户的存在都会造成曝光。 在此类帐户已登录时策略性地接管设备的攻击者，或者已经破坏了与该设备的 VPN 连接的攻击者可以冒充管理员帐户的合法用户。

Demirkapi 说，“这个想法是，对于像 Okta 这样的服务来说，进入该管理面板的访问控制将非常严格”。 “这里的问题是，Lapsus$ 似乎直接破坏了员工的机器，因此即使有这些访问控制，他们也可以搭载员工的访问权限。”

周二，即使是偶然牵涉到这种情况的公司也开始与 Okta 保持距离。 例如，互联网基础设施公司 Cloudflare 在一夜之间进行了调查，并表示已确认它没有因该事件而受到损害。 “值得庆幸的是，我们在 Okta 之外拥有多层安全性，并且永远不会将它们视为一个独立的选项。” 写道： 在 Twitter 上 他后来 补充说 ，“Okta 是一层安全保护。 鉴于他们可能有问题，我们正在评估该层的替代方案。”

关于 Lapsus$ 本身和该组织的动机的问题仍然存在。 研究人员一直发现，这是一个松散的、甚至是杂乱无章的集体，很可能总部设在南美洲，并且仍在发挥作用。 但是到目前为止，Lapsus$ 能够妥协的组织的规模和范围提出了一系列令人不寒而栗的可能性。 要么该组织是一个比事件响应者意识到或承认的更复杂的组织，要么世界上一些最关键的公司的安全性比以前想象的更加脆弱和不足。

Twitter 黑客 原来是 一名 17 岁的 Minecraft 骗子和其他虚荣心经纪人。 Lapsus$ 帮派真的可以为 lulz 烧掉它。