年僅16歲的黑客少年，竟是攪亂微軟、英偉達的幕后主使？

本文來自微信公眾號：InfoQ（ID：infoqchina），編譯：Tina、核子可樂，原文標題：《微軟、英偉達等多家企業源代碼被偷，「帶頭大哥」居然是未成年人？》

因工程師被未成年黑客「收買」，微軟、英偉達等多家企業源代碼被批量偷走。

本周，微軟與身份管理平臺 Okta 雙雙披露由 Lapsus$ 一手策劃的違規行為。作為網絡犯罪領域的一股「新勢力」， Lapsus$ 專門從大企業處竊取數據，並以公開數據內容為要挾迫使受害企業支付贖金。經過調查發現，該組織不是什麼極具威脅意義的「國家性」組織，其帶頭人不過是一位不足 18 歲的青少年，而且尚未受到正式犯罪指控。

大型企業在安全上投入了萬人團隊、千億資產，擁有高大上的零信任、無密碼認證等方案，卻抵擋不住一位未成年人採用旁門左道進行攻擊。在本文中，我們將一同瞭解 Lapsus$ 的前世今生，看看他們如何用相對簡單的技術犯下一起起驚天大案。

一、入侵多家企業，公司疲於應付

本周，微軟被證實泄露了 Bing、Cortana 和其他項目的源代碼，大約 37GB ，黑客組織 Lapsus$ 表示其中包含 90% 的 Bing 源代碼以及大約 45% 的 Bing Maps 和 Cortana 語音助手代碼。

在最新發布的一篇博文中，微軟證實受到 Lapsus$ 黑客組織的敲詐，該組織入侵了微軟的某個員工的賬户，「有限訪問」了項目源代碼存儲庫。微軟稱，泄露的代碼還沒有嚴重到導致風險升高，「我們的安全措施不依賴代碼保密」。

微軟一直相當重視企業安全，還曾挖來前亞馬遜高管查理·貝爾，擔任新成立的安全、合規、身份與管理部門，該部門員工預計將超過 1 萬人，佔微軟員工總人數（約 20 萬人）的 5%。在網絡安全的投入和收入上，微軟其實已成為網絡安全霸主，但意外的是，投入如此之大，也能被 Lapsus$ 輕易攻破。

在此之前，Lapsus$ 已經泄露了來自 Okta、英偉達、三星和育碧的數據。

Okta 是一家為 FedEx 等提供身份驗證服務的大型公司，據其網站數據表明他們擁有超過 15，000 名客户。本周二，Okta 確認攻擊者在 2022 年 1 月訪問了其員工的一臺筆記本電腦，約 2.5% 的客户可能受到了影響，比如客户數據已被查看。

Okta 發表了多次調查進展並進行了網絡研討會演示，聲稱是第三方客户支持工程師的帳户遭到了破壞，畢竟擁有多家不同文化的第三方承包商在現在是很正常事情。該賬户功能有限，黑客僅進行了 5 天時間的訪問。但 Lapsus$ 在 Telegram 中寫道，事實上他們對 Okta 的系統進行了數個月的訪問，還發布了內部系統的屏幕截圖，顯示入侵賬户為超級用户，能夠修改和訪問客户帳户。

今年 2 月底，Lapsus$ 公開承認對英偉達進行了網絡攻擊，聲稱擁有來英偉達的大約 1 TB 數據。僅硬件文件夾就有 250GB，其中包含「所有最近的 Nvidia GPU」的高度機密 / 祕密數據等。

3 月初，黑客組織 Lapsus$ 在此發佈了一張三星軟件里的 C/C++ 指令截圖，隨后便對泄密內容進行了公佈，包含用於敏感操作的三星 TrustZone 環境中安裝的每個受信任小程序（TA）的源代碼、所有生物特徵解鎖設備算法、所有最新三星設備的引導加載程序源代碼、三星激活服務器的源代碼、用於授權和驗證三星帳户的技術的完整源代碼、來自高通的機密源代碼等。3 月 7 日，三星發佈聲明證實了數據泄露事件，數據高達 190G。

3 月 12 日，Ubisoft 發佈公告，聲稱該公司經歷了「網絡安全事件」，雖然攻擊者在破壞公司安全方面的嘗試似乎都失敗了，但育碧還是啟動了全公司範圍的密碼重置作為預防措施。

二、來自微軟的調查結果：通過收買員工成功入侵目標企業

Lapsus$ 的犯罪「首秀」是在 2021 年 12 月，當時的勒索對象是巴西衞生部。在隨后的幾個月中，隨着 NVIDIA、三星和沃達豐等多家知名企業進入受害者名單，Lapsus$ 的名頭也是越來越響。

3 月 22 日（本周二），Lapsus$ 又通過自己的 Telegram 頻道放出最新消息，稱正在發佈竊取自微軟的源代碼。微軟方面在周二的博文中表示 Lapsus$ 的下載操作被中途攔截，因此並未拿到完整源代碼。之所以能夠及時發現，是因為 Lapsus$ 在下載尚未結束時就開始「慶功」、在 Telegram 頻道上公開討論起這次非法入侵活動。

Lapsus$ 小組的一名成員在 Telegram 頻道上承認，當時從微軟處下載源代碼的操作確被截斷。

微軟在博文中寫道，「對方的公開披露提醒我們及時升級保護措施，微軟團隊得以干預並打斷了對方的數據下載。在調查中，我們發現有一個賬户遭到盜用，導致對方獲得了有限的訪問權限。」從這次事件看，Lapsus$ 似乎很像那種初出茅廬、迫切想闖出一番名號的毛頭小子——但恰恰相反，Lapsus$ 的攻擊策略相當成熟、值得企業安全部門高度關注。微軟表示，Lapsus$（微軟內部將其定名為 DEV-0537，典型的工程師命名方法）主要通過社會工程實現非法入侵。具體來講，Lapsus$ 會對目標組織及其合作伙伴（例如客服中心和服務檯）的員工展開賄賂或欺詐，藉此獲取內部訪問權限。

微軟寫道，「微軟公司發現了該團伙通過收買員工（或來自供應商 / 業務合作伙伴的員工）成功入侵目標組織的情況。」

博文進一步補充道：

「DEV-0537 還發布廣告，表示他們願意購買針對特定攻擊目標的憑證，明目張膽地拉攏內部員工或承包商。要達成交易，同謀一方必須提供自己的登錄憑證並通過多因素驗證（MFA）提示，或者替該團伙在公司工作站上安裝 AnyDesk 或其他遠程管理軟件，藉此幫助攻擊者獲得對已驗證系統的控制權。除此之外，對於目標組織及其服務商 / 供應鏈之間安全訪問與業務關係，DEV-0537 還準備了其他多種破壞方式。」

目前，Lapsus$ 的 Telegram 頻道已經擁有 45000 多名訂閲者。微軟指出，Lapsus$ 曾在該頻道中發佈一則廣告，希望招募各主要手機廠商、大型軟件與遊戲公司、託管服務企業以及客服中心的內部員工。

有消息人士告訴我們，至少自 2021 年 11 月以來，Lapsus$ 就一直通過各個社交媒體平臺收買企業內部員工。去年，Lapsus$ 團伙的核心成員之一就曾經使用「Oklaqq」和「WhiteDoxbin」等暱稱在 Reddit 上發佈招聘信息，表示願意為 AT&T、T-Mobile 以及 Verizon 的員工開出每周 2 萬美元的價碼，換取對方為其執行某些「內部工作」。

Lapsus$ 核心成員 Oklaqq（又名 WhiteDoxbin）曾提出以 2 萬美元每周的價碼，收買美國各主要移動運營商的內部員工。

Lapsus$ 的相當一部分招聘廣告是用英語和葡萄牙語撰寫的。根據網絡情報公司 Flashpoint 的解釋，該團伙的大部分受害者（其中 15 家）也都集中在南美洲與葡萄牙。

Flashpoint 在分析報告中寫道，「Lapsus$ 目前並未運營任何明網 / 暗網泄密網站或傳統社交媒體賬户——他們僅通過 Telegram 與電子郵件實現運營溝通。Lapsus$ 似乎經驗老到，正發起一波又一波引人注目的數據泄露事件。該團伙宣稱並未接受國家層面的支持，因此其背后的運營者很可能經驗豐富、也展現出了深厚的技術知識與能力。」

微軟則提到，Lapsus$ 之所以想要從目標組織員工的個人電子郵箱賬户下手，是因為他們清楚目前大部分員工都會配合 VPN 來遠程訪問僱主網絡。

微軟寫道，「在某些情況下，Lapsus$ 會首先針對並奪取個人或私人（非工作相關）賬户，靜待對方完成訪問后再搜尋可用於訪問企業系統的其他憑證。考慮到員工經常會使用個人賬户或號碼作為雙因素驗證或密碼恢復方法，所以該團伙也決定藉此實現密碼重置和賬户恢復操作。」在其他一些情況下，Lapsus$ 也曾經致電目標組織的服務檯，試圖用話術誘導技術支持人員重置高權限賬户的憑證。

微軟還解釋道，「該團伙會派出一位以英語為母語的成員，使用之前收集到的信息（例如個人資料圖片）與客服人員交談，藉此增強社會工程的效力。從已經觀察到的情況來看，DEV-0537 會嘗試回答恢復提示問題，例如‘您居住的第一條街道’或者‘母親的本姓’，藉此博取客服人員的信任。目前不少組織都採用外包形式的客户服務，DEV-0537 的策略正是要利用這種斷裂關係、欺騙客服人員交出手中的權限提升能力。」

三、通過換手機卡繞過安全機制

微軟提到，Lapsus$ 還用換手機卡的方式訪問過目標組織的關鍵賬户。期間，攻擊者會以賄賂或誘導的方式讓移動運營商的員工將目標手機號碼轉移到他們指定的設備中。以此為基礎，攻擊者就能獲得通過短信或電話發送給受害者的一次性密碼，並藉此重置以短信形式進行驗證的在線賬户密碼。

微軟寫道，「他們的策略包括呼叫形式的社會工程、換手機卡以實現賬户接管、訪問目標組織員工的個人電子郵箱賬户、收買目標組織的員工 / 供應商 / 業務合作伙伴以獲取訪問憑證並通過多因素驗證（MFA）、並在目標已經發現威脅后入侵其緊急溝通呼叫。」

Unit 221B 是一家來自紐約的網絡安全諮詢企業，公司首席研究官 Allison Nixon 一直密切關注手機換卡這類網絡犯罪活動。Nixon 曾與安全廠商 Palo Alto Networks 開展合作，在 Lapsus$ 成立之前就跟蹤過其中幾位成員。根據長期研究，他們發現該團伙一直在利用社會工程技術腐蝕各大移動運營商的內部員工與承包商。

Nixon 解釋道，「Lapsus$ 可能是第一個‘另闢蹊徑’的犯罪團伙，也讓整個世界都意識到電信運營體系並不是鐵板一塊、其中存在着諸多可資利用的‘軟目標’。在此之前，網絡犯罪團伙很少會這樣考慮問題。」

微軟指出，Lapsus$ 還曾經部署「Redline」密碼竊取軟件、在公共代碼 repo 中搜索暴露密碼、以及從犯罪論壇處購買憑證和會話令牌。總之，只要能夠成功侵入受害者組織，Lapsus$ 對具體攻擊思路並不挑剔。

另外還有個有趣的點。Nixon 發現，Lapsus$ 團伙中至少有一名成員似乎參與了去年針對遊戲開發商 EA 的入侵，勒索方表示如果不支付贖金、就會公開 780 GB 遊戲源代碼。在接受媒體採訪時，黑客們宣稱他們用於訪問 EA 數據的 EA Slack 頻道身份驗證 cookie 是從 Genesis 暗網市場上買來的。

根據當時媒體的報道，「黑客們表示，他們使用身份驗證 cookie 偽裝成已經登錄的 EA 員工賬户、進而接入了 EA Slack 頻道。之后，他們又欺騙 EA IT 支持人員交出了公司內部網絡的訪問權限。」

為什麼 Nixon 敢斷言 Lapsus$ 大概率就是 EA 攻擊事件的幕后黑手？因為前文招聘信息截圖中出現的「WhiteDoxbin/Oklaqq」似乎正是 Lapsus$ 團伙的領導者，而且曾在多個 Telegram 頻道中使用過多種暱稱。但 Telegram 有一項功能，會將同一賬户下的所有暱稱劃歸相同的 Telegram ID，因此可以看出這背后指向的都是同一個人。

早在 2021 年 5 月，WhiteDoxbin 的 Telegram ID 就曾經在 Telegram 服務上創建賬户，用於發起分佈式拒絕服務（DDoS）攻擊，當時他們將自己稱為「@breachbase」。去年 EA 被黑的消息最早正是由用户「Breachbase」在英語黑客社區 RaidForums 上發佈、並在地下網絡犯罪分子中引發強烈反響的。順帶一提，RaidForums 網站最近已經被 FBI 查封。

四、帶頭大哥居然是一位未成年人？

Nixon 提到，作為比較明確的 Lapsus$ 帶頭大哥，WhiteDoxbin 跟去年買下 Doxbin 網站的買家基本就是同一個人。Doxbin 是個純文本網站，任何人都可以在其中發佈信息，也可以隨時查詢數十萬已經公開的「人肉搜索」數據。

很明顯，Doxbin 的這位新主人表現不佳，導致網站多位核心成員毫不客氣地對其管理能力批判了一番。

Nixon 提到，「此人絕對不是個好管理員，甚至無法讓網站維持正常運行。Doxbin 社區對此相當不滿，於是開始針對 WhiteDoxbin、甚至進行騷擾。」

Nixon 還指出，2022 年 1 月 WhiteDoxbin 不情願地放棄了對 Doxbin 網站的控制權，將論壇折價賣回了之前的所有者。但就在放棄所有權之前，WHiteDoxbin 通過 Telegram 向公眾泄露了整個 Doxbin 數據集（包括尚未正式發佈、僅作為草稿保存的私人搜索結果）。

Doxbin 社區自然對此反應激烈，並對 WhiteDoxbin 本人展開一場堪稱史上最徹底的「人肉搜索」，甚至公開了一張據稱是他本人在英國的家附近拍下的夜遊照片。

根據 Doxbin 用户們的説法，WhiteDoxbin 的錢來自買賣零日漏洞——也就是各類流行軟件與硬件中存在的、但連開發商都沒有察覺的安全漏洞。

Doxbin 上的資料顯示，「他在慢慢賺到錢后，又進一步擴大了漏洞利用範圍。幾年之間，他的淨資產已經超過 300 比特幣（接近 1400 萬美元）。」

2020 年，WhiteDoxbin 又在 RaidForums 上以 Breachbase 的身份亮相。他們拿出價值 100 萬美元的比特幣，打算批量收購來自 Github、Gitlab、Twitter、Snapchat、Cisco VPN、Pulse VPN 等各類遠程訪問 / 協作工具中的零日漏洞。

Breachbase 曾於 2020 年 10 月在 Raid Forums 上發帖稱，「我的首批預算是價值 10 萬美元的比特幣，任何提供有價值信息的人都能拿到 1 萬美元比特幣。另外，如果你認識有其他人或者地方在出售這些信息，也請回復。注意：你提供的零日漏洞必須具有高 / 重大影響。」

但目前 WhiteDoxbin 的真實姓名並未被公開，理由是他還是個未成年人（目前 17 歲）、而且尚未受到正式犯罪指控。但 Doxbin 的人肉搜索條目中已經包含 WhiteDoxbin 家庭成員的個人信息。

Nixon 表示，在組織 Lapsus$ 之前，WhiteDoxbin 曾經是某自稱「Recursion Team」網絡犯罪團伙的創始成員。根據網站歸檔信息，該團伙主要參與手機換卡及「假報警」攻擊，即虛構炸彈威脅、人質劫持等暴力場景向警方上報，誘導對方前往預先設計的致命埋伏。

Recursion Team 現已解散，但他們遺下的網站這樣寫道，「我們由網絡愛好者組成，主修安全滲透、軟件開發與僵屍網絡等技能。我們的計劃大有可為，期待着你的加入！」

參考鏈接：

https://www.bleepingcomputer.com/news/microsoft/lapsus-hackers-leak-37gb-of-microsofts-alleged-source-code/

https://www.theverge.com/2022/3/22/22990637/okta-breach-single-sign-on-lapsus-hacker-group

https://twitter.com/theprincessxena/status/1506647842424856580

https://twitter.com/_MG_/status/1506109152665382920

https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/

本文來自微信公眾號：InfoQ（ID：infoqchina），編譯：Tina、核子可樂