伦敦市警方逮捕了七名疑似Lapsus$组织的成员。彭博社发表一篇报道声称一名居住在英格兰牛津附近母亲家中的十几岁男孩,可能是Lapsus$组织的幕后策划者。但警方目前尚未向媒体核实他们逮捕的这名牛津青少年,就是他们一直在找的犯罪嫌疑人本尊。
但是无论如何,由于被逮捕者是未成年人,透露其个人信息是非法的。根据安全记者Brian Krebs的说法,这名青少年17岁,而英国广播公司则认为他的年龄是16岁。但就目前所能获得的信息而言,所有嫌疑人都很年轻。根据私家侦探Michael O’Sullivan的消息来源,伦敦市警方在给TechCrunch的声明中声称此次逮捕的嫌疑人都介于16至21岁之间。伦敦警方一直在与其合作伙伴一起调查一个黑客组织的成员,并且在这次行动当中有7名16至21岁的人被带走协助调查,但也都已经在调查后获释。伦敦警方的调查仍在继续。
此外,调查人员告诉彭博社,Lapsus$组织的另外成员很可能居住在巴西,其具体人数尚不清楚,很可能还有更多。另一位调查员则告诉媒体,安全研究人员已经锁定了7个与Lapsus$组织相关的独特帐户,这就表明可能还有其他人参与了该集团的运营。
忙碌的黑客童子军
在过去的几个月里,黑客组织Lapsus$将巴西卫生部和游戏巨头育碧公司作为他们网络攻击勒索的目标,同时也攻击了葡萄牙媒体公司Impresa。在最近几周,更是接连攻击了三星、英伟达、微软和Okta等科技巨头。
供职于Unit 221B的首席研究官Allison Nixon是持续跟踪牛津青少年的研究人员之一。Allison Nixon表示,牛津青少年所使用的网络昵称通常包括“White”、“Breachbase”或“Oklaqq”等。甚至在Lapsus$组织成立之前,她就一直在与安全公司Palo Alto Networks的研究人员合作,跟踪该组织的个人成员。Nixon告诉KrebsOnSecurity,她确信White/OklAGG是主要负责人,因为除其他外,该名人员也与Lapsus$集团为公司内部人士提供的招聘信息有关,这种招募方式有助他们渗透进入目标组织中。
Nixon告诉英国广播公司,自去年下半年以来,研究人员就已经开始关注这位牛津青少年的名字,甚至在他被黑客论坛Doxbin人肉搜索之前就已经识别出他。Doxbin是一个人们可以发布或筛选数十万人的个人数据以进行人肉搜索目的的网站。据称他购买了这些数据,但是作为这家论坛的运营者却做的十分糟糕,备受用户抱怨。最终这位牛津少年以极低的价格将论坛出售给其前所有者,然后转身就泄露了整个Doxbin论坛的数据,导致Doxbin论坛对其进行人肉搜索以示报复。这里面就包括了Krebs所报道的据称是晚上在英国他家外拍摄的视频,以及他的名字、地址和社交媒体图片。
据英国广播公司报道,Doxbin社区还发布了他黑客生涯的简历——这一职业让他通过不合法的方式在短时间内变得富有。Doxbin词条也将他与Lapsus$组织联系起来。据报道,该词条内容如下:
[他]慢慢开始通过网站存在的漏洞来赚钱。......几年后,他的净资产累计到300BTC以上(接近1400万美元)。......[他]现在隶属于一个名为“Lapsus$”的黑客组织,该组织一直在勒索和攻击其他组织。
英国广播公司援引Doxbin词条的说法。
Nixon还透露,Unit 221B公司与Palo Alto合作,确定了网络威胁袭击者,然后在跟踪调查了该名牛津少年在2021年所创下的“辉煌战绩”,并且他们也定期向执法部门发送最新犯罪的提醒。她说研究人员通过查看帐户的发帖历史记录和旧帖子所包含的联系信息来跟踪他。她也表示这位牛津少年因未能掩盖自己的踪迹而寻求获得帮助。
离开我的代码,你们这些该死的孩子
在攻击了各家公司之后,Lapsus$组织在该集团的Telegram频道上发布了被盗源代码,包括从微软Azure DevOps服务器上所盗取的该公司Bing和Cortana产品的代码。Lapsus$还发布了Okta的Slack频道和Cloudflare界面的屏幕截图。需要注意的是Cloudflare是数千家客户公司使用Okta技术为其员工提供身份验证的系统之一。今年2月,该组织还窃取了Nvidia公司的两个代码签名证书。这些证书之后被用于对恶意软件进行签名,使恶意程序能够跃过Windows系统中安全保护措施。
不过上周末在对微软和Okta进行引发关注的网络攻击后,Lapsus$组织于周二宣布它将偃旗息鼓一段时间。该组织在其集团的电报频道写道:我们的一些成员将休假到2022年3月30日,在此期间我们可能会安静一段时间,感谢您理解我们。我们也会将尽快把东西泄露出去。
你为什么要这么做?
周四,Cybereason安全战略总监Ken Westin在一封电子邮件中告诉Threatpost,虽然许多人猜测Lapsus$组织是一个有组织的网络犯罪集团或潜在的民族国家分子,但是他们很难猜测到作为策划者青少年的动机。无论这名青少年的动机被认定为何,或许他患有自闭症,或者其他的原因。Ken Westin认为网络安全界低估了年轻一代。他认为网络安全界忘记了如今的青少年在充斥着计算机的世界中长大,因此他们也可以获得数量空前的编程资源和进行网络攻击的教学资源。
根据他们的作案手法以及缺乏条理的工作方式,我们可以猜测出,这个团体组织成员十分年轻,以致于他们对自己所取得的“成功”感到惊讶,并不知道后续该如何发展。在与该组织后续的一些沟通中也可以发现,他们似乎是出于宣扬他们的名声的动机而非是出于获得财务的目的来提升他们的能力、展现他们的成就,Westin补充道。当然也会有一些人们所认为的动机存在比如建立世界上最引人关注的科技公司、Doxbin词条所声称的300BTC收入。这种动机也无可厚非,因为这些孩子是在疫情发生时期成长发育的。
Westin认为,现如今青少年已经看到了黑客通过犯罪行动能够获得极高的收入,对于他们而言在某些方面黑客就是他们所崇拜的摇滚明星。因为当你将他们的经历与现实进行比对我们并不应该感到惊讶,因为疫情泛滥,他们这三年的时间大多是与网络相联系的。问题是,他们仍然处于对世界不断认知的过程,对于是非对错并没有形成一个明确的判断标准,他们无法准确地将兴趣与犯罪进行区分。青少年进行黑客攻击我们其实司空见惯,但是对于其中具体个体而言这些行为会影响到他们今后的发展。
Westin还认为,伦敦警方逮捕了这些青少年就会结束Lapsus$组织的这种说法为时尚早。这仍然可能是一则虚假的消息,错误的结案,甚至可能是栽赃陷害。当然如果是这个16岁的英国人所组织的,我们可能会看到该组织活动的结束,除非他们的网络犯罪合作伙伴在他们之后再次接管这一组织。
隐私安全预防公司BlackFog的创始人兼首席执行官Darren Williams说,无论Lapsus$组织的背后组织者是犯罪团伙还是来自牛津的青少年,最重要的是,这些组织显然有能力渗透到世界上一些大型公司。他们网络攻击的速度之快,使得大型公司无法使用传统的周边防御工具来防止。
我们不能通过一刀切地手段来干涉青少年的成长。但是我们可以持续关注他们是如何攻击目标组织的。正如周四Williams在给Threatpost的一封电子邮件中指出,超过84%的网络攻击涉及数据泄露,其中就包括了暗网和和公共网站上的数据。
Williams建议:今后应当以反数据泄露作为安全工作的重点,进而减少敲诈勒索的可能和由此产生的监管罚款与报告,以及最终对企业失去信任的情况。